WO2013129056A1 - 情報処理装置、および情報処理方法、並びにプログラム - Google Patents
情報処理装置、および情報処理方法、並びにプログラム Download PDFInfo
- Publication number
- WO2013129056A1 WO2013129056A1 PCT/JP2013/052819 JP2013052819W WO2013129056A1 WO 2013129056 A1 WO2013129056 A1 WO 2013129056A1 JP 2013052819 W JP2013052819 W JP 2013052819W WO 2013129056 A1 WO2013129056 A1 WO 2013129056A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- data
- processing
- key
- bit slice
- bit
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/75—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation
- G06F21/755—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation with measures against power attack
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0631—Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/12—Details relating to cryptographic hardware or logic circuitry
- H04L2209/125—Parallelization or pipelining, e.g. for accelerating processing of cryptographic operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/24—Key scheduling, i.e. generating round keys or sub-keys for block encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
- H04L2209/805—Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
Definitions
- the present disclosure relates to an information processing apparatus, an information processing method, and a program. More specifically, the present invention relates to an information processing apparatus, an information processing method, and a program that realize high-speed encryption processing of a large amount of data.
- a network such as the Internet
- various devices such as a PC, a portable terminal, an RFID, and various sensors are connected to the network for communication.
- information security technology for realizing a network society that enhances convenience while protecting personal privacy is indispensable, and encryption technology that is safe and capable of high-speed processing is required. Yes.
- a server collects information transmitted from a terminal owned by an individual or information acquired through a sensor installed at home, and the server uses a system that performs various data processing and analysis on the collected information Has been.
- a system that installs sensors in homes and offices to manage power consumption a service that is used for health and safety management by placing sensors in single-person nursing homes, and sensors on roads and vehicles. Traffic systems used to detect and relieve traffic jams.
- the data collected in such a system often includes personal privacy information, and it is desirable to encrypt the data for privacy protection.
- hardware mounted with a conventional cryptographic algorithm that is not a lightweight cryptographic algorithm designed for mounting on a small hardware has a large module scale and is difficult to mount on a small device such as an RFID or a sensor.
- lightweight block ciphers which are one of the lightweight cryptographic techniques, are optimized for small hardware implementation. That is, many are designed with a structure in which a “light” round function using a large number of small S-boxes such as 4 bits and bit operations is repeated many times so that the size can be reduced when the hardware is mounted.
- This lightweight cryptographic structure cannot take full advantage of the evolving general-purpose processor, and there is a problem that the software implementation on a PC or server is generally slow.
- Non-Patent Document 1 As an example of processing by software implementation on a PC or server, the use of cloud computing using a network-connected device can be considered, but on the cloud, a cross-VM (Cross VM) side channel attack is also a threat.
- Cross-VM Cross-VM
- An inter-virtual machine side-channel attack is a detection of a “malicious VM” sharing a set associative cache hitting the cache continuously and accessing other VMs due to a delay in the cache response. It is an attack that derives a key.
- resistance to such side channel attacks is also an issue.
- the present disclosure has been made in view of, for example, the above-described situation, and an object thereof is to provide an information processing apparatus, an information processing method, and a program that realize high-speed encryption processing of a large amount of data. Further, in an embodiment of the present disclosure, an information processing apparatus, an information processing method, and an information processing method capable of performing high-speed processing when cryptographic processing is executed by applying software (program) operable on a general-purpose processor; The purpose is to provide a program.
- the first aspect of the present disclosure is: A communication unit that receives encrypted data transmitted by a plurality of data transmission devices; and A data processing unit that executes decryption processing of a plurality of encrypted data received via the communication unit;
- the data processing unit is configured to execute data processing according to a program that defines a decoding processing sequence,
- the data processing unit according to the program, Data conversion processing for generating bit slice expression data by bit slice processing for a plurality of encrypted data to be decrypted;
- a key schedule process for inputting the bit slice expression key and generating a round key for each round in the decryption process; Decryption processing applying the round key to the bit slice representation data;
- Data reverse conversion processing for generating a plurality of plaintext data corresponding to the plurality of encrypted data by reverse conversion of the bit slice processing with respect to the result of the decryption processing, In the information processing apparatus to
- the communication unit receives a device ID of a transmission device of the encrypted data together with the encrypted data, and the data processing unit is based on the device ID, An encryption key corresponding to each encrypted data is selectively acquired from the storage unit, or an encryption key corresponding to each encrypted data is derived by a predetermined operation based on the device ID, and in the key conversion process, the encryption key A bit slice expression key is generated by the bit slice processing for.
- the data processing unit is configured to use the same bit or every n-th bit of the encrypted data constituting the bit slice expression data in the decryption process, where n Executes a decoding process to which an arithmetic process and a shift process in units of bit slice expression data blocks constituted by data of bit slice expression data blocks constituted by powers of 2.
- the data processing unit is configured such that, in the key schedule processing, the same bit or every nth bit of each encryption key constituting the bit slice expression key, where n Applies the arithmetic processing and movement processing of the bit slice expression key block unit constituted by a power of 2 to generate the round key.
- the second aspect of the present disclosure is: A plurality of transmitting terminals that generate and transmit encrypted data; A server for receiving a plurality of encrypted data transmitted by the plurality of transmitting terminals; The server A data processing unit that executes data processing according to a program that defines a decoding processing sequence; The data processing unit, according to the program, Data conversion processing for generating bit slice expression data by bit slice processing for a plurality of encrypted data to be decrypted; A key conversion process for generating a bit slice expression key by a bit slice process for each encryption key of the plurality of encrypted data; A key schedule process for inputting the bit slice expression key and generating a round key for each round in the decryption process; Decryption processing applying the round key to the bit slice representation data; Data reverse conversion processing for generating a plurality of plaintext data corresponding to the plurality of encrypted data by reverse conversion of the bit slice processing with respect to the result of the decryption processing, In the information processing system to be executed.
- the plurality of transmission terminals transmit device IDs of transmission devices of the encrypted data together with the encrypted data
- the data processing unit of the server includes the device ID
- the encryption key corresponding to each encrypted data is selectively acquired from the storage unit, or the encryption key corresponding to each encrypted data is derived by a predetermined calculation based on the device ID.
- a bit slice expression key is generated by a bit slice process for the encryption key.
- n is a bit slice expression data block unit configured by a power of 2, and a decoding process to which a moving process is applied is executed.
- the data processing unit of the server in the key schedule processing, the same bit or every n-th bit of each encryption key constituting the bit slice expression key,
- the round key is generated by applying an arithmetic process and a transfer process in units of bit slice expression key blocks, where n is a power of 2.
- the third aspect of the present disclosure is: A communication unit that transmits encrypted data to the data receiving device; A data processing unit that executes generation processing of a plurality of encrypted data to be transmitted via the communication unit; The data processing unit is configured to execute data processing according to a program that defines a cryptographic processing sequence, The data processing unit, according to the program, Data conversion processing for generating bit slice expression data by bit slice processing for a plurality of plaintext data to be encrypted; A key conversion process for generating a bit slice expression key by a bit slice process for each of the plurality of plaintext data encryption keys; Key schedule processing for inputting the bit slice expression key and generating a round key for each round in the encryption processing; An encryption process applying the round key to the bit slice representation data; Data reverse conversion processing for generating a plurality of encrypted data corresponding to the plurality of plaintext data by reverse conversion of the bit slice processing with respect to the result of the encryption processing, In the information processing apparatus to be executed.
- the data processing unit selectively acquires an encryption key corresponding to each plaintext data from the storage unit based on a device ID of a transmission destination that transmits the encrypted data, or Based on the device ID, an encryption key corresponding to each encrypted data is derived by a predetermined calculation, and in the key conversion process, a bit slice expression key is generated by a bit slice process for the encryption key.
- the data processing unit is configured to use the same bit or every n-th bit of each plaintext data constituting the bit slice expression data in the encryption processing, where n is An encryption process is performed by applying an arithmetic process and a shift process in units of bit slice expression data blocks constituted by powers of two.
- the data processing unit is configured such that, in the key schedule processing, the same bit or every nth bit of each encryption key constituting the bit slice expression key, where n Applies the arithmetic processing and movement processing of the bit slice expression key block unit constituted by a power of 2 to generate the round key.
- the fourth aspect of the present disclosure is: A server that generates and sends multiple encrypted data; A plurality of receiving terminals for receiving encrypted data transmitted by the server;
- the server A data processing unit that executes data processing according to a program that defines an encryption processing sequence;
- the data processing unit according to the program, Data conversion processing for generating bit slice expression data by bit slice processing for a plurality of plaintext data to be encrypted;
- a key conversion process for generating a bit slice expression key by a bit slice process for each of the plurality of plaintext data encryption keys;
- Key schedule processing for inputting the bit slice expression key and generating a round key for each round in cryptographic processing;
- An encryption process applying the round key to the bit slice representation data;
- Data reverse conversion processing for generating a plurality of encrypted data corresponding to the plurality of plaintext data by reverse conversion of the bit slice processing with respect to the result of the encryption processing, In the information processing system to be executed.
- the data processing unit of the server selects and acquires an encryption key corresponding to each plaintext data from a storage unit based on a device ID of each of the receiving terminals, or Based on the device ID, an encryption key corresponding to each plaintext data is derived by a predetermined operation, and in the key conversion process, a bit slice expression key is generated by a bit slice process for the encryption key.
- the data processing unit of the server in the encryption process, the same bit or every n bits of each plaintext data constituting the bit slice expression data,
- n is an encryption process to which an arithmetic process and a shift process in units of bit slice expression data blocks constituted by a power of 2 are applied.
- the data processing unit of the server in the key schedule processing, performs the same bit or every n-th bit of each encryption key constituting the bit slice expression key Where n is a power of 2,
- the round key is generated by applying arithmetic processing and moving processing in units of bit slice expression key blocks configured by
- the fifth aspect of the present disclosure is: An information processing method executed in an information processing apparatus, A communication unit that receives encrypted data transmitted by a plurality of data transmission devices; and A data processing unit executes a data processing step of performing decryption processing of a plurality of encrypted data received via the communication unit, The data processing step is performed according to a program that defines a decoding processing sequence.
- the sixth aspect of the present disclosure is: An information processing method executed in an information processing apparatus, A data processing step in which a data processing unit executes a process of generating a plurality of encrypted data; and The communication unit executes a communication step of transmitting each of the plurality of encrypted data generated by the data processing unit to each of the plurality of data transmission devices,
- the data processing step is performed according to a program that defines a cryptographic processing sequence.
- Data conversion processing for generating bit slice expression data by bit slice processing for a plurality of plaintext data to be encrypted A key conversion process for generating a bit slice expression key by a bit slice process for each of the plurality of plaintext data encryption keys; Key schedule processing for inputting the bit slice expression key and generating a round key for each round in the encryption processing; An encryption process applying the round key to the bit slice representation data; Data reverse conversion processing for generating a plurality of encrypted data corresponding to the plurality of plaintext data by reverse conversion of the bit slice processing with respect to the result of the encryption processing, There is an information processing method to be executed.
- the seventh aspect of the present disclosure is: A program for executing information processing in an information processing apparatus; Let the data processor input the encrypted data generated by multiple transmitters with individual encryption keys, For the data processing, Data conversion processing for generating bit slice expression data by bit slice processing for a plurality of encrypted data to be decrypted; A key conversion process for generating a bit slice expression key by a bit slice process for each encryption key of the plurality of encrypted data; A key schedule process for inputting the bit slice expression key and generating a round key for each round in the decryption process; Decryption processing applying the round key to the bit slice representation data; Data reverse conversion processing for generating a plurality of plaintext data corresponding to the plurality of encrypted data by reverse conversion of the bit slice processing with respect to the result of the decryption processing, It is in the program to be executed.
- an eighth aspect of the present disclosure is A program for executing information processing in an information processing apparatus; A data processing step for causing the data processing unit to execute generation processing of a plurality of encrypted data; and The communication unit executes a communication step of causing each of the plurality of data transmission devices to transmit each of the plurality of encrypted data generated by the data processing unit,
- Data conversion processing for generating bit slice expression data by bit slice processing for a plurality of plaintext data to be encrypted A key conversion process for generating a bit slice expression key by a bit slice process for each of the plurality of plaintext data encryption keys; Key schedule processing for inputting the bit slice expression key and generating a round key for each round in the encryption processing; An encryption process applying the round key to the bit slice representation data;
- Data reverse conversion processing for generating a plurality of encrypted data corresponding to the plurality of plaintext data by reverse conversion of the bit slice processing with respect to the result of the encryption processing, It is in the program to be executed.
- the program of the present disclosure is a program provided by, for example, a storage medium to an information processing apparatus or a computer system that can execute various program codes. By executing such a program by the program execution unit on the information processing apparatus or the computer system, processing according to the program is realized.
- system is a logical set configuration of a plurality of devices, and is not limited to one in which the devices of each configuration are in the same casing.
- bit slice representation data by bit slice processing for a plurality of encrypted data to be decrypted, generate a bit slice representation key based on the encryption key of each encrypted data, and generate a round key based on the bit slice representation key
- processing is performed by calculation or movement processing in units of bit slice expression blocks stored in a register, and a large amount of data can be processed at high speed.
- the cryptographic algorithm [PRESENT (key length 80 bits)] is executed on the Intel Core i7 870 processor, 11.06 cycles / bytes and the cryptographic algorithm [Piccolo (key length 80 bits)] are executed. In this case, a high speed of 5.59 cycles / byte is achieved. In particular, the speed of Piccolo exceeds the speed record of 6.92 cycles / byte of the US government standard cipher AES on the same platform (Intel Core i7 920) which has been conventionally known.
- the S-box is calculated by a logical operation instead of a table reference, so that it is possible to increase resistance to side channel attacks such as cache attacks and attacks between virtual machines. . Furthermore, the speedup of cryptographic processing by software in cloud computing processing can complete cryptographic processing in a smaller number of cycles, leading to lower power consumption of the cloud and data center.
- FIG. 3 is a diagram for describing an example of processing executed in a server configuring a system to which the processing of the present disclosure illustrated in FIGS. 1 and 2 can be applied.
- FIG. 3 is a diagram illustrating a sequence example of processing executed in a server that configures a system to which the processing of the present disclosure illustrated in FIGS. 1 and 2 can be applied.
- FIG. 3 is a diagram illustrating a sequence example of processing executed in a server that configures a system to which the processing of the present disclosure illustrated in FIGS. 1 and 2 can be applied.
- Sbox nonlinear transformation process
- a configuration is assumed in which information is collected from a communication terminal such as a mobile phone or a smartphone owned by each individual, an RFID attached to various articles, or a sensor disposed in each house and processed in the server.
- a communication terminal such as a mobile phone or a smartphone owned by each individual, an RFID attached to various articles, or a sensor disposed in each house and processed in the server.
- a large number of devices on the information transmission side can be equipped with small hardware that executes an encryption processing algorithm to generate and transmit encrypted data at high speed.
- the server needs to receive a large amount of encrypted data transmitted by these many terminals and sensors and perform decryption processing. It is also assumed that the server must generate a large number of encrypted data to be transmitted to a large number of terminals. In the future, it is expected that the needs for collecting, analyzing and utilizing such vast and diverse big data will increase.
- cloud computing is used to analyze a large amount of encrypted data collected from a large number of terminals and sensors, etc., and cryptographic processing (encryption and encryption) is applied using software that can run on a general-purpose processor of a server on the network. (Including both decoding processes).
- lightweight encryption is a general-purpose processor for servers in the cloud.
- the usual software implementations that operate above typically have the problem of being slow.
- Cloud computing has the advantage of using many information processing devices connected via a network for processing, but all devices connected to the network are equipped with hardware that executes specific cryptographic processing algorithms. Therefore, increasing the speed is a cost disadvantage.
- the scale-out is performed using software (programs) that can be executed on many inexpensive servers. This method is considered desirable.
- a cache attack may be a threat.
- a cache attack is a side-channel attack, which is a timing attack for deriving an encryption key using the fact that the memory access time varies depending on the presence or absence of a cache hit.
- FIG. 1 shows a cloud 10 including a sensor network 20 to which a plurality of end nodes are connected, and a network connection server group that collects transmission data of the end nodes and performs data processing.
- the terminal node is a personal terminal owned by the user, a mobile terminal such as a mobile phone, a smart phone, or a tablet terminal, or a power consumption detection sensor disposed in a home or office, or a nursing home for safety and health management information.
- Sensors and health care devices that collect data, terminals and sensors that are used to detect and relieve traffic congestion on roads and vehicles, and various other devices.
- these various terminal node components will be collectively described as sensors.
- the sensor includes the various devices described above.
- the sensor which comprises a terminal node transmits various information to the cloud 10 comprised by the network connection server group which performs a data process.
- the transmission data is provided to a network connection server configuring the cloud 10 via, for example, a relay node.
- Data collected by such a system often includes, for example, personal privacy and confidential information, and is encrypted and transmitted to prevent data leakage.
- the sensor performs encryption of the transmission data and transmits the encrypted data.
- the sensor is mounted with dedicated hardware that executes a lightweight encryption algorithm, and encryption is performed using the dedicated hardware.
- the encryption key for encryption an individual encryption key held in the memory of each sensor, or a key that can be derived from the sensor ID by a predetermined calculation, for example, is used.
- each sensor assigns a sensor ID to the encrypted data and transmits it to the cloud.
- the end nodes A, B, and C are shown as representative examples of the data transmission node.
- Each node performs encryption of transmission data by applying an encryption key that is a node unique key to generate a block (for example, 64 bits) composed of the encrypted data, and each sensor ( A sensor ID, which is an identifier of the terminal node, is assigned and transmitted.
- a large amount of encrypted data is transmitted from a large number of sensors other than the sensors A to C shown as representative examples to a server on the cloud, for example, the server S30 shown in FIG.
- the data length of the encrypted data generated by each sensor is described as one block length of the lightweight block cipher algorithm used for the encryption process.
- One block is data of fixed bits such as 64 bits.
- Each sensor generates and transmits a 64-bit encrypted block by an encryption process using a sensor unique key (for example, 80 bits).
- the data of the encrypted data generated by each sensor is not limited to one block but may be a plurality of blocks.
- Each sensor transmits data in which the correspondence between each encrypted data block and the sensor ID is clarified. For example, when data order information of each block is necessary, the serial number and time stamp indicating the data order are included in the data, and these are given as block attribute information and transmitted.
- the transmission data from the sensor that is the terminal node is transmitted from the sensor (terminal node) to the root node that is set as a relay node and a higher node of the relay node. , Sent from the root node to the server on the cloud.
- the server on the cloud collects a large number of encrypted data blocks transmitted from a large number of sensors (terminal nodes), and executes a cryptographic process using software (program) that can operate on a general-purpose processor. For example, a process for decrypting a large number of encrypted data is executed. Alternatively, a process for generating a large number of encrypted data to be transmitted to each terminal node is performed.
- bit slice encryption processing as encryption processing (including encryption and decryption processing) to which software (program) is applied.
- encryption processing includes both data encryption processing and decryption processing.
- Bit-slice encryption (including encryption and decryption) is a process proposed by Biham in 1997, showing that a class of cryptographic algorithms can be implemented faster than traditional software implementations with bit-slice implementations. It was.
- Non-Patent Document 2 [Eli Biham, “A Fast New DES Implementation in Software”, FSE '97, 1997. ] For details.
- data is cut out in bit units from the beginning of a plurality of data blocks to be encrypted, and the same bit or every nth bit cut out from each data block, where n is 2 , 4, 8, 16, 64, 128, etc., and a new block (bit slice expression data block) composed of a set of data of these bits is set and processed.
- FIG. 3 shows the server S30 shown in FIG. (A) Retained data (B) Cryptographic processing sequence (decryption) The figure explaining these is shown.
- the encryption key 31 is data that the server S30 holds in advance as a key unique to each sensor (terminal node).
- Each of the sensor ID 32 and the encrypted data 33 is data received from each sensor via a network. Based on the sensor ID, the encryption key applied to the encryption processing of each encrypted data can be selected.
- FIG. 3B is a diagram illustrating processing executed in the cryptographic processing unit 50 of the server S30.
- the cryptographic processing unit 50 shown in the figure is a data processing unit configured by a CPU or the like having a program execution function, and performs cryptographic processing (encryption processing) by data processing according to a program that defines a predetermined cryptographic algorithm sequence. Or decryption processing). That is, cryptographic processing to which software (program) is applied is executed.
- FIG. 3B shows a processing example when decrypting encrypted data received from each sensor via the network.
- the server first applies the sensor ID 32 added to the encrypted data 33 and selects the encryption key 31 used for each decryption.
- the server on the cloud holds the encryption key used by each sensor as management data associated with the sensor ID. Or it is good also as a structure which derive
- the server arranges the encryption keys 31 of the sensors in the order corresponding to the blocks of the encrypted data 33 generated by the sensors.
- the encrypted data 33 and the encryption key 31 having a predetermined number of blocks defined in advance as the processing unit of the bit slice encryption process are prepared, the data decryption process according to the bit slice encryption process is performed.
- bit slice encryption process data is cut out in bit units from the beginning of each block to be encrypted, and the same bit or every n bits of each block, where n is 2, 4, Processing is performed by setting a power of 2 such as 8, 16, 64, 128, and a set of data of these bits (bit slice expression data block).
- the server From a large number of encrypted data blocks constituting the encrypted data 33 received from a large number of sensors, A block (bit slice representation data block) in which only the 1st bit is collected, A block (bit slice representation data block) that collects only the second bit, A block in which only data at the same bit position is collected until the final bit (bit slice expression data block), These multiple bit slice representation data blocks are generated.
- the server generates a plurality of bit slice representation data blocks from a large number of encrypted data blocks constituting the encrypted data 33.
- the same processing that is, a plurality of bit slice expression key blocks corresponding to a plurality of key data is generated.
- Each of the encryption keys 31 is, for example, an encryption key block made up of 80-bit key data.
- the same bit or every n bits of each encryption key block, where n is 2, 4 , 8, 16, 64, 128 and the like, and a set of data of these bits (bit slice expression key block) is set.
- This block conversion process is a process executed as the key conversion process (Key Conversion) in Step S11 and the data conversion process (Data Conversion) in Step S21 shown in the encryption processing unit 50 shown in FIG.
- Processing based on the bit slice expression block generated by these bit slice processing is executed, and processing according to a predetermined encryption algorithm is executed.
- software program
- performs operations (AND, OR, XOR, etc.) using the bit slice representation block as a processing unit, shift processing of register stored data, transposition processing of bit positions such as shuffle, etc.
- the process according to a predetermined encryption algorithm is executed.
- a round key is generated by key schedule processing (Key Scheduling) in Step S12 for the bit slice key data based on a large number of encryption keys 31 generated by the key conversion processing (Key Conversion) in Step S11 in the cryptographic processing unit 50. To do.
- a bit slice encrypted data block is generated by a bit slice process for a large number of encrypted data 33 received from the sensor.
- This bit slice block is set as a processing target of encryption processing (encryption processing and decryption processing) in the encryption processing (Data Processing) step in the next step S22.
- step S22 an encryption process in which a round key is applied to the bit slice representation data block generated based on the encrypted data in the data conversion process (Data Conversion) in step S21.
- the decryption process of the digitized data is executed.
- this encryption processing step for example, processing according to a predetermined encryption algorithm such as addition with a round key (XOR) processing, linear conversion processing, and non-linear conversion processing is executed according to software (program).
- a round key to be applied in each round of the round calculation is generated.
- Step S23 a data reverse conversion process (Data Conversion -1 ) is performed on the block group obtained as a result of the encryption process (Data Processing) in Step S22.
- Data Conversion -1 a data reverse conversion process
- processing for returning the bit-sliced block to the original block is performed.
- plain text data 70 corresponding to the encrypted data 33 sent from the sensor is generated.
- the flowchart shown in FIG. 4 shows a sequence when the step of preparing a decryption key for each block based on the sensor ID added to the encrypted data is performed after a predetermined number of blocks of encrypted data are prepared. It is a flowchart to explain.
- the flowchart shown in FIG. 5 is a flowchart for explaining a sequence when the step of preparing the decryption key for each block is performed for each arrival of each ciphertext data block based on the sensor ID added to the encrypted data. It is.
- step S31 an encrypted data block sent from a node is received. This is combination data of the sensor ID 32 and the encrypted data 33 shown in FIG.
- step S32 it is determined whether or not a predetermined number of blocks of encrypted data previously defined as processing units have been received. If the predetermined number of blocks has not been reached, the process returns to step S31 and the reception process is continued.
- step S34 the correspondence set of the encrypted data and the encryption key is input to the encryption processing unit 50, and the decryption process according to the bit slice encryption process is executed.
- step S41 an encrypted data block sent from the node is received. This is combination data of the sensor ID 32 and the encrypted data 33 shown in FIG.
- step S43 it is determined whether or not a predetermined number of blocks of encrypted data defined in advance as processing units have been received. If the predetermined number of blocks has not been reached, the process returns to step S41 to continue the reception process.
- step S44 a corresponding set of encrypted data and an encryption key is input to the encryption processing unit 50, and a decryption process according to the bit slice encryption process is executed.
- a large number of encrypted data is received from a sensor and decrypted by a server.
- the server generates encrypted data to be transmitted to a large number of user terminals and the like.
- a large number of encrypted data is generated by applying bit slice encryption processing to a large number of plaintext data.
- This encryption process is also executed by applying the configuration of the encryption processing unit 50 shown in FIG.
- a large number of blocks composed of plaintext data and an encryption key corresponding to each plaintext data are input and the processing is executed to generate a large number of encrypted data.
- the encryption key corresponding to each plaintext data is selected and acquired from the storage unit based on the device ID of the transmission destination to which the encrypted data is transmitted, and the bit slice expression key is obtained by bit slice processing for the encryption key selected and acquired from the storage unit. Generate.
- the bit slice representation data block based on the plaintext data and the bit slice representation key block based on the encryption key are applied, and the encryption processing is executed according to the processing sequence shown in the encryption processing unit 50 shown in FIG. , Generate and output encrypted data.
- the bit slice encryption process executed by the encryption processor 50 is executed as a process to which software (program) operable on a general-purpose processor is applied as described above. That is, in a device such as a PC that does not have a hardware configuration dedicated to a specific cryptographic algorithm, processing is performed by executing software (program) that defines an execution sequence of a cryptographic processing algorithm described below.
- processing executed in accordance with software for example, operations (AND, OR, XOR, etc.) between block data using bit slice expression block data stored in a register, and shift processing of data stored in a register Bit position movement, transposition processing, etc.
- bit slice encryption process the number of blocks that can be processed in parallel in the bit slice encryption process varies depending on the encryption algorithm, the bit slice implementation algorithm, the processor architecture, the size of the register to be used, and the like. Settings such as 32, 64, and 128 are possible.
- bit slice encryption process the ciphertext blocks to be processed in parallel are independent of each other. Therefore, as long as the correspondence with the key data block is established, even if blocks received from a plurality of sensors are mixed, the reception order Regardless of the order, it does not matter.
- Another advantage of this system utilizing bit slice encryption processing is that decryption processing can be performed regardless of the order of encrypted sensing data received asynchronously from a large number of sensors.
- Sbox nonlinear conversion processing
- PRESENT which is an example of an encryption processing algorithm executed by the present disclosure.
- PRESENT which is a lightweight block cipher algorithm corresponding to a block size of 64 bits, a key length of 80 bits, and 128 bits, is executed as an encryption process to which a bit slice is applied.
- FIG. 6 An outline of a cryptographic processing sequence according to the lightweight block cipher algorithm “PRESENT” will be described with reference to FIG.
- a 64-bit plaintext block and, for example, an 80-bit encryption key are input.
- a 64-bit round key is generated based on the 80-bit encryption key, and the following processing is performed.
- Step S71 Addition processing (exclusive OR operation: XOR) of the 64-bit plaintext block and the 64-bit round key is executed.
- Step S72 Further, a non-linear conversion process (SboxLayer) is performed on the addition result.
- Step S73 Further, a linear conversion process (pLayer) is performed on the nonlinear conversion result.
- the round operation is repeatedly executed by setting the processing of steps S71 to S73, that is, addition processing with a round key, nonlinear conversion processing, and linear conversion processing as one unit of round operation. For example, 31 rounds are repeatedly executed, and after the final round, an operation with the round key is executed again to generate and output a ciphertext. Note that update processing (Update) based on input key data is sequentially executed to generate a round key (64 bits) to be applied to each round.
- Update update processing
- the information processing apparatus executes, for example, encryption processing according to the lightweight block encryption algorithm “PRESENT” illustrated in FIG. 6 according to software (program) using a bit slice expression data block generated by bit slice processing as a processing unit. To do. Specifically, it realizes cryptographic processing according to software (program) that defines operations such as inter-block operations (AND, OR, XOR, etc.), register storage data shift processing, bit position transposition processing, etc. is there.
- FIG. 7 is a diagram illustrating the configuration and processing of the information processing apparatus 100.
- the information processing apparatus 100 can be configured by, for example, a PC or the like, and can be configured as an apparatus that does not have dedicated hardware for executing cryptographic processing according to a specific algorithm.
- Software (program) for executing encryption processing is stored in a memory, and processing according to the program is executed to perform encryption processing.
- the encryption processing unit 110 of the information processing apparatus 100 shown in FIG. 7 includes, for example, a data processing unit including a CPU having a program execution function, and a memory (RAM, ROM, register, etc.) that stores data, various parameters, and programs.
- the data processing unit (CPU or the like) is configured to perform encryption processing by executing the processing of steps S111 to S112 and steps S121 to S123 shown in the figure according to the program.
- the input data 80 is a plurality of encryption keys 81 and a plurality of plain text data 82. These encryption keys and plaintext data are associated one-to-one. That is, Plaintext data a encrypted with the encryption key a, Plaintext data b encrypted with the encryption key b, Plaintext data c encrypted with the encryption key c, : Plaintext data N encrypted with the encryption key N,
- the cryptographic processing unit 110 inputs the set of N cryptographic keys and plaintext data as a processing unit and executes cryptographic processing.
- Each of the plaintext data a, b, and c is constituted by a data block (for example, 64 bits) having a predetermined data length.
- each of the encryption keys a, b, and c is configured by a key data block (for example, 80 bits) having a predetermined data length.
- the bit size is an example, and various bit size data and keys can be set.
- the encrypted data 91 generated as the output data 90 is the following data. Encrypted data a encrypted with the encryption key a, Encrypted data b encrypted with the encryption key b, Encrypted data c encrypted with the encryption key c, : Encrypted data N encrypted with an encryption key N, The encryption processing unit 110 generates and outputs these N pieces of encrypted data.
- these N pieces of encrypted data are individually transmitted to N sensors (terminal nodes) via the networks shown in FIGS. 1 and 2, and decryption processing is executed in each sensor.
- a key applied to encryption and a key applied to decryption processing can be set to the same setting, and the encryption key shown as input data in FIG. 7 is constituted by, for example, a sensor unique key held by each sensor. .
- Step S111 Key conversion process
- Step S112 Key schedule process
- Step S121 Data conversion process
- Step S122 cryptographic processing
- Step S123 data reverse conversion processing
- the cryptographic processing unit 110 implements cryptographic processing according to the lightweight block cryptographic algorithm “PRESENT” by applying the bit slice cryptographic processing by executing the above steps.
- PRESENT the lightweight block cryptographic algorithm
- the key conversion process in step S111 is performed by the encryption key 81, that is, the same bit or a bit every n bits of a plurality of encryption key blocks composed of, for example, 80-bit key data, where n is 2, 4, 8, 16, 64, This is a process of generating bit slice expression key data composed of a bit slice expression block which is a set of data of these bits, which is a power of 2, such as 128.
- the data conversion process in step S121 is performed by the plaintext data 82, that is, the same bit of a plurality of data blocks composed of, for example, 64-bit plaintext data, or every n bits, where n is 2, 4, 8, 16, 64, 128. This is a process for generating bit slice representation plaintext data composed of bit slice representation blocks that are sets of data of these bits, such as a power of 2.
- the key schedule process (Key Scheduling) in step S112 is a process for generating a plurality of round keys to be applied to the encryption process by applying the bit slice expression key data generated in the key conversion process (Key Conversion) in step S111. .
- the encryption process (Data Processing) in step S122 is a step of executing an encryption process using a round key for the bit slice expression data generated based on the plain text data in the data conversion process (Data Conversion) in step S111.
- Processing according to the cryptographic algorithm such as addition (XOR) processing with a round key (XOR) processing, linear conversion processing, and nonlinear conversion processing in units of blocks constituting the bit slice expression data generated by the bit slice processing, is executed according to software (program) To do.
- Step S123 a data reverse conversion process (Data Conversion ⁇ 1 ) is executed on the result of the encryption process (Data Processing) in Step S122.
- This processing is processing for returning the bit slice expression data to a set of encrypted data corresponding to the plain text data 82 before being bit sliced.
- encrypted data 91 corresponding to the plain text data 82 is generated as the output data 90.
- the key conversion process in step S111 is performed by the encryption key 81 shown as input data in FIG. 7, that is, the same bit or every nth bit of a plurality of encryption key blocks composed of, for example, 80-bit key data, where n is 2, 4 , 8, 16, 64, 128, and the like, and a process of generating a bit slice expression key block that is a set of data of these bits.
- FIG. 8 shows eight 80-bit key data (a1) to (a8) as the encryption key 81 which is input data.
- a bit slice expression key block is generated from the eight 80-bit key data (a1) to (a8), and the registers (XMM registers (r0 to) and general-purpose memory constituting the information processing apparatus) are configured.
- (B1) to (b8) shown in FIG. 8 are register storage data that is the processing result of the key conversion processing in step S111, that is, storage data of the bit slice expression key block.
- eight 128-bit registers are used as storage areas for bit slice expression key blocks.
- the encryption processing unit 110 collects 8-bit data [0, 0] obtained by collecting only the first bits of the eight 80-bit key data (a1) to (a8) which are the input data shown in FIG. As shown in b1), it is stored in the XMM register r0.
- This 8-bit data [0, 0] is a set consisting of only the first bit of eight 80-bit key data, and is one bit slice expression block.
- 8-bit data [1, 0] obtained by collecting only the second bits of the input data (a1) to (a8) is stored in the XMM register r1, as shown in FIG. 8 (b2).
- 8-bit data [2, 0] obtained by collecting only the third bits of the input data (a1) to (a8) is stored in the XMM register r2, as shown in FIG. 8 (b3).
- 8-bit data [3, 0] obtained by collecting only the fourth bit of the input data (a1) to (a8) is stored in the XMM register r3 as shown in FIG. 8 (b4).
- 8-bit data [0, 1] obtained by collecting only the fifth bit of the input data (a1) to (a8) is stored in the XMM register r0 as shown in FIG. 8 (b1).
- the 65-bit and subsequent data of the input data (a1) to (a8) is stored in units of 8 bits by sequentially applying the general purpose registers (g0 to g3) or the XMM registers (r4 to r7).
- 8-bit data [0, 16] obtained by collecting only the 65th bit of the input data (a1) to (a8) is stored in the XMM register r4 (or general-purpose register g0) as shown in FIG. 8 (b5).
- 8-bit data [1, 16] obtained by collecting only the 66th bit of the input data (a1) to (a8) is stored in the XMM register r5 (or general-purpose register g1) as shown in FIG. 8 (b6). To do.
- 8-bit data [1, 16] obtained by collecting only the 67th bit of the input data (a1) to (a8) is stored in the XMM register r6 (or general-purpose register g2) as shown in FIG. 8 (b7).
- 8-bit data [1, 16] obtained by collecting only the 68th bit of the input data (a1) to (a8) is stored in the XMM register r7 (or general-purpose register g3) as shown in FIG. 8 (b8). To do.
- the cryptographic processing unit 110 bit-slices eight 80-bit keys and stores them in a plurality of registers.
- the information processing apparatus 100 has eight XMM registers (r0 to r7) that are registers for Intel extended SIMD instructions, or four XMM registers (r0 to r3) and four general-purpose registers (g0 to g3). ), The bit slice data is distributed and stored in units of 8 bits using these registers.
- Each register stored data in the example shown in FIG. 8 is as follows. Of the eight 80-bit key data blocks (a1) to (a8) that are input data, 1st, 5th, 9th,..., The 61st bit is the XMM register r0, 2nd, 6th, 10th,..., The 62nd bit is the XMM register r1, 3rd, 7th, 11th,..., 63rd bit of the XMM register r2, , 64th bit is stored in the XMM register r3.
- eight 80-bit key data blocks (a1) to (a8) which are input data are The 65th, 69th, 73rd, and 77th bits of the XMM register r4 (or general-purpose register g0); 66th, 70th, 74th and 78th bits are XMM register r5 (or general purpose register g1), The 67th, 71st, 75th, and 79th bits of the XMM register r6 (or general-purpose register g2); 68th, 72th, 76th, and 80th bits, XMM register r7 (or general-purpose register g3), To store.
- [i, j] of the register storage data shown in FIG. 8 is a bit slice expression block as a set of the same bit of the eight key data (a1) to (a8), and is 8-bit data.
- [i, j] shown as the identifier of the data stored in the register i is 0, 1, 2 in units of 4 bits from the beginning of each input data of the eight 80-bit key data blocks (a1) to (a8).
- 3 is a parameter repeatedly set, and indicates a variable indicating which bit is stored in a 4-bit unit.
- j corresponds to a parameter indicating what number 4-bit unit data of the 4-bit unit data of the eight key data (a1) to (a8).
- the encryption processing unit 110 shown in FIG. 7 generates hit slice expression key data composed of bit slice expression blocks of [0, 0] to [3, 19] in the key conversion process of step S111 and stores them in the register. Store.
- This data conversion process is a conversion process to bit slice expression data similar to the key conversion process described with reference to FIG. However, the difference is that the input is eight 64-bit plaintext data.
- Each register storage data in the example shown in FIG. 9 is as follows. Of the eight 64-bit data blocks (a1) to (a8) that are input data, 1st, 5th, 9th,..., The 61st bit is the XMM register r0, 2nd, 6th, 10th,..., The 62nd bit is the XMM register r1, 3rd, 7th, 11th,..., 63rd bit of the XMM register r2, , 64th bit is stored in the XMM register r3.
- [I, j] of the register stored data shown in FIG. 9 is a set of the same bit of the eight plaintext data (a1) to (a8), and is 8-bit data.
- i is a parameter that is repeatedly set to 0, 1, 2, and 3 in 4-bit units from the beginning of each input data of eight 64-bit plaintext data blocks (a1) to (a8).
- j is a parameter indicating what number 4-bit unit data of the 4-bit unit data of the eight plaintext data (a1) to (a8).
- the key scheduling process (Key Scheduling) in Step S112 is a process for generating a plurality of round keys to be applied to the encryption process by applying the bit slice expression key block generated in the key conversion process (Key Conversion) in Step S111. .
- step S111 eight 80-bit key bit slice representation key data are distributed and stored in the registers.
- step S112 round key generation processing is performed using the bit slice expression key data stored in these registers.
- 78, 77, 76, 75... 0 corresponds to 8-bit data obtained by collecting the second, third, fourth, fifth, last (80th bit) of eight 80-bit keys.
- the register storage data of the bit slice expression key data generated in step S111 is as shown in FIG. As shown in FIG. 10, 80 bit slice blocks from 0 to 79 are distributed and stored in the registers. Each block is a block (bit slice expression block) composed of 8-bit data composed of a set of the same bits of eight encryption keys. As will be described below, by executing block-by-block processing using this block as a unit, processing similar to encryption processing in which eight keys are individually applied can be executed in one encryption processing.
- step S112 a round key is generated using eight 80-bit keys expressed in bit slices stored in these registers.
- 32 round keys corresponding to the number of rounds are required.
- 32 round keys are generated using the bit slice expression data stored in the register.
- the round key generated by the processing described below is a round key applied to processing in units of blocks (bit slice expression blocks).
- the round key of each round applied to 64-bit plaintext is 64 bits, but the encryption process in step S122 for executing the encryption process using the bit slice data shown in FIG. Is executed as processing in units of bit slice expression blocks. That is, plaintext is subjected to cryptographic processing in units of 64 blocks, and the round key applied to this cryptographic processing is also a 64-block round key.
- one key block (bit slice expression key block) stores the data of the same bit of the original eight encryption keys 81, that is, 8 bits.
- the plain input is 64 bits.
- step S112 32 round keys composed of 64 blocks to be applied to encryption processing between the bit slice expression blocks are generated.
- the generated round key is written in the memory area (m0 to m3) designated by the key pointer (pt) as shown in FIG.
- step S204 a round key generation / updating process is executed to increment the round number Rn by one. This detailed processing will be described later.
- FIG. 13 shows a detailed processing flow of the round key generation / updating process executed in step S203. As shown in FIG. 11, it is assumed that the bit slice expression key block generated by the bit slice processing is stored in the registers r0, r1, r2, r3, r4, r5, r6, and r7.
- step S221 of the flowchart shown in FIG. 13 the registers r1, r2, r3, r4 are copied to the registers r9, r10, r11, r8. That is, as shown in FIG. 14, the registers r1, r2, r3, r4 are copied to the registers r9, r10, r11, r8.
- step S222 a shuffle instruction is executed on the register r8, and the data stored in the register 8 is replaced.
- the shuffle executed in the apparatus of the present disclosure is a process of replacing data stored in one register in units of blocks and storing the data in the same register. That is, it is a process of exchanging block unit data in the register in block units.
- the data stored in the register r8 is the following data in units of 8 bits from the top, [0,0], [0,1], [0,2], [0,3], [0,4], [0,5], [0,6], [0,7], [0 , 8], [0, 9], [0, 10], [0, 11], [0, 12], [0, 13], [0, 14], [0, 15]
- the shift process in step S222 is executed as the following shift process.
- step S223 arithmetic processing corresponding to a predetermined non-linear transformation (Sbox logic instruction sequence) is executed on the data stored in the registers r9, r10, r11, r8.
- the result of executing the non-linear transformation (Sbox logic instruction sequence) processing on the blocks 18, 17, 16, 15 which are the stored data of the registers r9, r10, r11, r8 is the result of the register r8, r9. , R10, r11.
- the result of the nonlinear conversion processing is the following data shown in FIG.
- the non-linear transformation (Sbox logical instruction sequence) processing applied in the present embodiment is executed as an arithmetic processing for executing, for example, the logical instruction sequence shown in FIG. 17 between stored data between registers.
- the registers x3, x2, x1, x0, and x4 shown as logical instruction sequences in FIG. 17 correspond to the registers r9, r10, r11, r8, and r12 shown in FIG.
- the register r12 shown in FIG. 16 corresponds to the register x4 in the logical instruction sequence shown in FIG. 17, and is used as a temporary area for storing intermediate data for arithmetic processing.
- step S224 the data stored in the registers r8, r9, r10, r11 are shifted by 120 bits to the left.
- FIG. 18 shows a result obtained by shifting the data stored in the registers r8, r9, r10, r11 to the left by 120 bits.
- step S225 the data stored in the registers r5, r6, r7 is shifted to the right by 8 bits, AND processing of register r4 and mask 0 (MASK0) consisting of predetermined data; An AND process is performed on the registers r5, r6, r7 and a mask 1 (MASK1) made of predetermined data. Note that the mask value need not be stored in the register.
- the mask 0 (MASK0) is a mask in which only the bits of the second to fourth blocks of 8-bit data units are set to 1 and the others are set to 0.
- the mask 1 (MASK1) is a mask in which only the bits of the second to fifth blocks of 8-bit data unit are set to 1 and the others are set to 0.
- step S226 an exclusive OR operation (XOR) of the registers r4, r5, r6, r7 and the registers r11, r8, r9, r10 is executed, and the output is stored in the registers r4, r5, r6, r7.
- FIG. 20 shows the exclusive OR (XOR) processing and the storage data of the processing result.
- XOR exclusive OR
- the first 8 bits of the registers r4, r5, r6, r7 are replaced with the non-linear transformation processing of step S223 which is the first 8 bits data of the registers r11, r8, r9, r10.
- the calculation result of (Sbox) is stored.
- step S227 a shuffle instruction is executed for the registers r0, r1, r2, and r3, and the shuffle result is stored in the registers r0, r1, r2, and r3.
- FIG. 21 shows data stored in the registers r0, r1, r2, and r3 before and after the shuffle process.
- the order of data rearrangement in the shuffle process is different between the register r0 and the registers r1, r2, and r3. From the top of the 8-bit unit data of each register, [0,0, [0,1], [0,2], [0,3], [0,4], [0,5], [0,6], [0,7], [0, 8], [0, 9], [0, 10], [0, 11], [0, 12], [0, 13], [0, 14], [0, 15] And
- the shuffle process in step S227 is executed with the following settings for the register r0. ([0,0], [0,1], [0,2], [0,3], [0,4], [0,5], [0,6], [0,7], [ 0, 8], [0, 9], [0, 10], [0, 11], [0, 12], [0, 13], [0, 14], [0, 15]) ⁇ ([ 0, 12], [0, 13], [0, 14], [0, 15], [0, 0], [0, 1], [0, 2], [0, 3], [0, 4], [0, 5], [0, 6], [0, 7], [0, 8], [0, 9], [0, 10], [0, 11])
- the first 32 bits of the register r8 are set to 0, and the first 40 bits of the registers r9, r10, r11 are set to 0.
- step S229 an exclusive OR operation (XOR) of the registers r4, r5, r6, r7 and the registers r8, r9, r10, r11 is executed, and the result is stored in r4, r5, r6, r7. .
- This exclusive OR operation (XOR) process is shown in FIG.
- step S230 an exclusive OR operation is performed on the right 8 bits of the registers r5, r6, r7, and r4 and the left 8 bits of r1 with a round counter value that is a preset count value. (XOR) is performed.
- Round counter Number of rounds Set to each count value of 00000 to 11111 as a binary number expression according to 0 to 31.
- An XOR operation is performed on the count value 01101 with the right 8 bits of the registers r5, r6, r7, r4 and the left 8 bits of r1.
- the order of the XOR operation with the count values 00000 to 11111 of the round counter is the order from the upper bit of the original data of the stored value of each register.
- the values are in the descending order, ie, 38, 37, 36, 35, 34. That is, the register order is r5, r6, r7, r4, r1.
- MASK4 is used for XOR with the registers r5, r6, r7, r4, and MASK5 is used for XOR with the register r1.
- step S230 Of the register obtained as a result of step S230, The data stored in the registers r5, r6, r7, r4, r1, r2, r3, r0 is used as the next round key generation block. 64 blocks from the blocks stored in the registers r5, r6, r7, r4, r1, r2, r3, r0 are set as round keys for the next round.
- the updated register storage block is applied, and the process according to the flow of FIG. 13 is repeated to generate 32 round keys.
- FIG. 26A shows register initial storage data in which 80 blocks stored in a plurality of registers shown in FIG. From this initial setting block, 64 blocks are selected as initial round keys. Thereafter, processing according to the flow shown in FIG. 13 is executed on the 80 blocks which are the register initial storage data shown in FIG. That is, the processing described with reference to FIGS. 14 to 25 is performed to update the register.
- FIG. 26B collectively shows the register update processing.
- Register update processing (A) Rotation processing including block-unit shift processing and shuffle processing, (B) Non-linear transformation processing (Sbox) in units of blocks, (C) exclusive OR operation between block and round counter (00000 to 111111), It is executed as a process including these processes. As a result of these, the register update data shown in the lower part of FIG.
- step S112 In the key schedule process of step S112 shown in FIG. 7, a round key is generated in this way.
- FIG. 27 shows a flow for explaining the processing executed by the key schedule unit of this processing example.
- step S251 in the flow in FIG. 27 is the same as the process in step S201 in the flow in FIG.
- the processing in steps S254 and S259 in the flow in FIG. 27 is the same processing as the processing in step S203 in the flow in FIG.
- the processing in steps S256 and S261 in the flow in FIG. 27 is the same processing as the processing in step S205 in the flow in FIG.
- the process of step S262 in the flow of FIG. 27 is the same process as the process of step S206 of the flow in FIG. A description of these processes will be omitted, and a process different from the key schedule process described with reference to FIG. 12 will be described below.
- Sbox nonlinear transformation
- FIGS. In the initial state, as shown in FIG. 30, it is assumed that each bit slice representation key block of 79 to 0 is stored in the register. This is the same as the setting described above with reference to FIGS.
- the bit slice representation key block of [79] is 8-bit data obtained by collecting the first bits of eight 80-bit keys.
- 78, 77, 76, 75... 0 corresponds to 8-bit data obtained by collecting the second, third, fourth, fifth, last (80th bit) of eight 80-bit keys.
- step S281 shown in the flow of FIG. 31 the registers r0, r1, r2, and r3 are copied to the registers r12, r13, r14, and r15, and a shuffle instruction is performed on the registers r12, r13, r14, and r15.
- Registers r12, r13 ([0,0], [0,1], [0,2], [0,3], [0,4], [0,5], [0,6], [0,7], [ 0, 8], [0, 9], [0, 10], [0, 11], [0, 12], [0, 13], [0, 14], [0, 15]) ⁇ ([ 0, 1], [0, 2], [0, 3], [0, 4], [0, 6], [0, 7], [0, 8], [0, 9], [0, 11], [0, 12], [0, 13], [0, 14], [0, 15], [0, 0], [0, 0], [0, 0], [0, 0])
- Register r14 ([0,0], [0,1], [0,2], [0,3], [0,4], [0,5], [0,6], [0,7], [ 0, 8], [0, 9], [0, 10], [0, 11], [0, 12], [0, 13], [0, 14], [0, 15]) ⁇ ([ 0, 1], [0, 2], [0, 3], [0, 4], [0, 6], [0, 7], [0, 8], [0, 9], [0, 10], [0, 11], [0, 12], [0, 13], [0, 15], [0, 0], [0, 0], [0, 0], [0, 0])
- Register r15 [0,0], [0,1], [0,2], [0,3], [0,4], [0,5], [0,6], [0,7], [0 , 8], [0, 9], [0, 10], [0, 11], [0, 12], [0, 13], [0, 14], [0, 15]) ⁇ ([0 , 1], [0, 2], [0, 3], [0, 4], [0, 5], [0, 6], [0, 7], [0, 8], [0, 10 ], [0,11], [0,12], [0,13], [0,15], [0,0], [0,0], [0,0], [0,0]
- next step S282 As shown in FIG. 32, the data of registers r4, r5, r6, and r7 are stored in registers r8, r9, 10, and r11, r8 is logically shifted by 12 bytes on the right, and r9, r10, and r11 are logically shifted on the right by 13 bytes. .
- step S283 As shown in FIG. AND processing of register r12 and mask 6 (MASK6), An AND process of the registers r13, r14, r15 and the mask 7 (MASK7) is executed.
- step S284 As shown in FIG. 34, an exclusive OR operation (XOR) is performed on the registers r8, r9, r10, r11 and the registers r12, r13, r14, r15, and the results are stored in the registers r12, r13, r14, r15.
- XOR exclusive OR operation
- Register r13 ([0,0], [0,1], [0,2], [0,3], [0,4], [0,5], [0,6], [0,7], [ 0, 8], [0, 9], [0, 10], [0, 11], [0, 12], [0, 13], [0, 14], [0, 15]) ⁇ ([ 0, 12], [0, 13], [0, 14], [0, 15], [0, 0], [0, 1], [0, 2], [0, 3], [0, 4], [0, 5], [0, 6], [0, 7], [0, 8], [0, 9], [0, 10], [0, 11])
- Register r14 ([0,0], [0,1], [0,2], [0,3], [0,4], [0,5], [0,6], [0,7], [ 0, 8], [0, 9], [0, 10], [0, 11], [0, 12], [0, 13], [0, 14], [0, 15]) ⁇ ([ 0, 8], [0, 9], [0, 10], [0, 11], [0, 12], [0, 13], [0, 14], [0, 15], [0, 0], [0, 1], [0, 2], [0, 3], [0, 4], [0, 5], [0, 6], [0, 7])
- Register r15 ([0,0], [0,1], [0,2], [0,3], [0,4], [0,5], [0,6], [0,7], [ 0, 8], [0, 9], [0, 10], [0, 11], [0, 12], [0, 13], [0, 14], [0, 15]) ⁇ ([ 0, 4], [0, 5], [0, 6], [0, 7], [0, 8], [0, 9], [0, 10], [0, 11], [0, 12], [0, 13], [0, 14], [0, 15], [0, 0], [0, 1], [0, 2], [0, 3])
- unpacking processing in units of bytes is executed on the left 64 bits of the registers r13, r14, r15, r12.
- the unpacking process in the process of the present disclosure refers to, for example, selecting data stored in two registers as a minimum unit from the upper or lower order and alternately storing the data in one of the two registers. It is processing. Specifically, for example, a process of selecting one half of all blocks stored in each register from two registers and re-storing in one register.
- an unpacking process is executed in which the left 8 blocks (64 bits) of the register r13 and the register r14 are alternately stored in the register r13 from the left in units of blocks (8 bits).
- an unpacking process is executed in which the left 8 blocks (64 bits) of the register 15 and the register r12 are alternately stored from the left in the register r15 in units of blocks (8 bits).
- an unpacking process in units of bytes is executed on the right 64 bits of the registers r9 and r14 and r11 and r12.
- unpack processing is executed in which the right 8 blocks (64 bits) of the register r9 and the register r14 are alternately stored in the register r9 from the right in units of blocks (8 bits).
- an unpacking process is performed in which the right 8 blocks (64 bits) of the register 11 and the register r12 are alternately stored in the register r11 from the right in units of blocks (8 bits).
- step S289 As shown in FIG. 39, the registers r13 and r9 are copied to r12 and r14.
- step S290 As shown in FIG. 40, the left 64 bits of the registers r12 and r15 and the registers r14 and r11 are unpacked in units of words of two 8-bit blocks.
- unpack processing is executed in which the left 8 blocks (64 bits) of the register r12 and the register r15 are alternately stored in the register r12 from the left in units of 2 blocks (16 bits).
- an unpacking process is executed in which the left 8 blocks (64 bits) of the register r14 and the register r11 are alternately stored from the left in the register r14 in units of 2 blocks (16 bits).
- step S291 As shown in FIG. 41, the left 64 bits of the registers r13, r15 and the registers r9, r11 are unpacked in units of words of two 8-bit blocks. As shown in FIG. 41, unpack processing is executed in which the right 8 blocks (64 bits) of the register r13 and the register r15 are alternately stored in the register r13 from the left in units of 2 blocks (16 bits). Similarly, unpack processing is executed in which the right 8 blocks (64 bits) of the register r9 and the register r11 are alternately stored in the register r9 from the left in units of 2 blocks (16 bits).
- Register r13 ([0,0], [0,1], [0,2], [0,3], [0,4], [0,5], [0,6], [0,7], [ 0, 8], [0, 9], [0, 10], [0, 11], [0, 12], [0, 13], [0, 14], [0, 15]) ⁇ ([ 0, 1], [0, 2], [0, 3], [0, 0], [0, 5], [0, 6], [0, 7], [0, 4], [0, 9], [0, 10], [0, 11], [0, 8], [0, 13], [0, 14], [0, 15], [0, 12])
- Register 14 ([0,0], [0,1], [0,2], [0,3], [0,4], [0,5], [0,6], [0,7], [ 0, 8], [0, 9], [0, 10], [0, 11], [0, 12], [0, 13], [0, 14], [0, 15]) ⁇ ([ 0, 2], [0, 3], [0, 0], [0, 1], [0, 6], [0, 7], [0, 4], [0, 5], [0, 10], [0, 11], [0, 8], [0, 9], [0, 14], [0, 15], [0, 12], [0, 13])
- Register 9 [0,0], [0,1], [0,2], [0,3], [0,4], [0,5], [0,6], [0,7], [ 0, 8], [0, 9], [0, 10], [0, 11], [0, 12], [0, 13], [0, 14], [0, 15]) ⁇ ([ 0, 3], [0, 0], [0, 1], [0, 2], [0, 7], [0, 4], [0, 5], [0, 6], [0, 8], [0, 11], [0, 9], [0, 10], [0, 15], [0, 12], [0, 13], [0, 14])
- step S293 As shown in FIG. 43, the AND of the registers r12, r13, r14, r9 and mask 8 (MASK8), mask 9 (MASK9), mask 10 (MASK10), mask 11 (MASK11) is obtained and stored in the respective registers.
- the mask 9 (MASK9) is a mask set to 0, 1, 0, 1 in units of 32 bits from the top.
- Mask 10 is a mask in which 16-bit continuous 0 and 16-bit continuous 1 appear alternately from the beginning
- a mask 11 is a mask in which 8-bit continuous 0 and 8-bit continuous 1 appear alternately from the top.
- step S294 As shown in FIG. 44, nonlinear conversion processing (Sbox) is performed on the data in the registers r12, r13, r14, r9.
- the non-linear conversion process is the process described above with reference to FIG.
- the result of the nonlinear conversion process is stored in the registers r9, r14, r13, r12. In this process, the register r8 is used as a temporary area.
- the resulting data stored in 16 blocks of 8 bits from the left of the registers r9, r14, r13, r12 shown in FIG. 45 is the result of the non-linear conversion processing (Sbox) for 16 rounds.
- Sbox non-linear conversion processing
- the registers r9, r14, r13, r12 are stored in r12, r13, r14, r15 before executing the key update process. Note that this register replacement process can be executed by simply replacing the register in the program.
- step S252 the result of nonlinear conversion processing (Sbox) applied to 1 to 16 round key generation is generated, and the Sbox pre-calculation in step S257 shown in FIG. Then, a non-linear conversion process (Sbox) result to be applied to 17 to 32 round key generation is generated.
- Sbox non-linear conversion process
- step S255 (6-2. About round key generation and update processing)
- FIG. 46 is a flowchart for explaining a detailed sequence of step S255 in the flow shown in FIG. 27 and the round key generation update processing in step S260. A detailed sequence of the round key generation / updating process executed in steps S255 and S260 of the flow of FIG. 27 will be described according to the flow shown in FIG.
- the register setting before the generation and update of the round key is as shown in FIG.
- the keys of bit slice representation are stored in the registers r0, r1, r2, r3, r4, r5, r6, r7.
- Pre-computation processing of nonlinear transformation (Sbox)) described above are stored in the registers r12, r13, r14, r15. It is assumed that
- registers r12, r13, r14, r15 storing the result of nonlinear transformation (Sbox) processing are copied to registers r8, r9, r10, r11, and mask 5 (MASK5) and AND processing are performed. Execute.
- the pre-calculated non-linear conversion processing (Sbox) value uses the left 8 bits of the registers r12, r13, r14, r15.
- step S302 As shown in FIG. 49, the registers r12, r13, r14, r15 are logically shifted to the left by 8 bits.
- step S303 As shown in FIG. 50, the registers r5, r6, and r7 are logically shifted to the right by 8 bits, and AND is performed between r4 and MASK0, r5, r6, r7, and MASK1. This process is the same as the process of step S225 in the flow of FIG.
- the data stored in the registers r5, r6, r7 is shifted 8 bits to the right, AND processing of register r4 and mask 0 (MASK0) consisting of predetermined data; An AND process is performed on the registers r5, r6, r7 and a mask 1 (MASK1) made of predetermined data. Note that the mask value need not be stored in the register.
- the mask 0 (MASK0) is a mask in which only the bits of the 2nd to 4th blocks of the 8-bit data unit are set to 1 and the others are set to 0.
- the mask 1 (MASK1) is a mask in which only the bits of the second to fifth blocks of 8-bit data units are set to 1 and the others are set to 0.
- step S304 As shown in FIG. 51, the exclusive OR operation (XOR) of the registers r4, r5, r6, r7 and the registers r11, r8, r9, r10 is executed, and the output is stored in the registers r4, r5, r6, r7. To do.
- This process is the same as the process of step S226 in the flow of FIG.
- step S305 As shown in FIG. 52, a shuffle instruction is executed for the registers r0, r1, r2, and r3, and the shuffle result is stored in the registers r0, r1, r2, and r3.
- FIG. 52 shows data stored in the registers r0, r1, r2, and r3 before and after the shuffle process. This process is the same as the process of step S227 in the flow of FIG.
- the order of data rearrangement in the shuffle process is different between the register r0 and the registers r1, r2, and r3. From the top of the 8-bit unit data of each register, [0,0, [0,1], [0,2], [0,3], [0,4], [0,5], [0,6], [0,7], [0, 8], [0, 9], [0, 10], [0, 11], [0, 12], [0, 13], [0, 14], [0, 15] And
- the shuffle process in step S305 is executed with the following settings for the register r0. ([0,0], [0,1], [0,2], [0,3], [0,4], [0,5], [0,6], [0,7], [ 0, 8], [0, 9], [0, 10], [0, 11], [0, 12], [0, 13], [0, 14], [0, 15]) ⁇ ([ 0, 12], [0, 13], [0, 14], [0, 15], [0, 0], [0, 1], [0, 2], [0, 3], [0, 4], [0, 5], [0, 6], [0, 7], [0, 8], [0, 9], [0, 10], [0, 11])
- step S306 As shown in FIG. 53, the data in the registers r0, r1, r2, r3 are copied to the registers r8, r9, r10, r11, AND processing of register r8 and mask 2 (MASK2), AND processing of registers r9, r10, r11 and mask 3 (MASK3), These AND processes are executed, and the results are stored in the registers r8, r9, r10, r11. This process is the same as the process of step S228 in the flow of FIG.
- the first 32 bits of the register r8 are set to 0, and the first 40 bits of the registers r9, r10, r11 are set to 0.
- step S307 As shown in FIG. 54, the exclusive OR operation (XOR) of the registers r4, r5, r6, r7 and the registers r8, r9, r10, r11 is executed, and the result is stored in r4, r5, r6, r7. .
- This process is the same as the process of step S229 in the flow of FIG.
- step S308 As shown in FIG. 55, an exclusive OR operation with a round counter value that is a preset count value is applied to the right 8 bits of the registers r5, r6, r7, and r4 and the left 8 bits of r1. (XOR) is performed.
- This process is the same as the process in step S230 of the flow of FIG. Round counter Number of rounds: Set to each count value of 00000 to 11111 as a binary number expression according to 0 to 31.
- An XOR operation is performed on the count value 01101 with the right 8 bits of the registers r5, r6, r7, r4 and the left 8 bits of r1.
- the order of the XOR operation with the count values 00000 to 11111 of the round counter is the order from the upper bit of the original data of the stored value of each register.
- the values are in the descending order, ie, 38, 37, 36, 35, 34. That is, the register order is r5, r6, r7, r4, r1.
- mask 4 (MASK4) and mask 5 (MASK5) as shown in FIG. 55 can be applied to the exclusive OR (XOR) operation.
- MASK4 is used for XOR with the registers r5, r6, r7, r4, and MASK5 is used for XOR with the register r1.
- step S122 is a step of executing an encryption process using a round key for the bit slice expression data generated based on the plain text data in the data conversion process (Data Conversion) in step S111. .
- Processing according to the cryptographic algorithm such as addition (XOR) processing with a round key (XOR) processing, linear conversion processing, and nonlinear conversion processing in units of blocks constituting the bit slice expression data generated by the bit slice processing, is executed according to software (program) To do. Details of this encryption processing will be described with reference to FIG.
- the flowchart shown in FIG. 57 is a flowchart for explaining the detailed sequence of the process of step S122 executed by the encryption processing unit 110 shown in FIG. 7, that is, the encryption process.
- bit slice expression data of plaintext data to be encrypted and stored in the register is input.
- This is data generated in the data conversion process in step S121 of FIG. 7, and is bit slice expression data generated by the conversion process of the plain text data 82 described with reference to FIG. That is, 64 blocks of bit slice expression blocks [0, 0] to [3, 15] shown in FIG. 9 are input.
- the bit slice expression blocks [0, 0] to [3, 15] shown in FIG. 9 are blocks storing the same bit of eight plaintexts to be encrypted, each of which is 8-bit data. is there.
- the key pointer (pt) represents the memory address of the round key written in the memory area.
- the initial value of the round number Rn is set to 0, and Rn is incremented after each round.
- Steps S402 to S404 are processes for each round of encryption processing.
- Step S402 Round key addition, that is, exclusive OR operation processing (addRoundKey) of the round key and input plaintext data (bit slice expression data)
- Step S403 Nonlinear transformation processing (SboxLayer) for the round key addition result
- Step S404 Linear conversion processing (pLayer) for the nonlinear conversion result;
- the data reverse conversion process in step S23 shown in FIG. 7 is performed on the output ciphertext, and the final ciphertext 90 is output.
- FIG. 58 shows a configuration example when the cryptographic processing step of step S122 executed by the cryptographic processing unit 110 shown in FIG. 7 is executed with a hardware configuration, for example. 58 shows two rounds.
- A Round key addition (addRoundKey),
- B Non-linear transformation (SboxLayer),
- C Linear transformation (pLayer) These three processes are shown.
- a round operation consisting of these three types of processing is repeatedly executed for a plurality of rounds to output a ciphertext.
- a round operation is performed by an arithmetic process on the bit slice expression data stored in the register, a shift process of the register stored data, That is, each process of steps S402 to S404 shown in the flow of FIG. (A) Round key addition (addRoundKey), (B) Non-linear transformation (SboxLayer), (C) Linear transformation (pLayer) These three processes are executed.
- AddRoundKey Round key addition
- SboxLayer Non-linear transformation
- pLayer Linear transformation
- step S402 the key addition process (addRoundKey) in step S402 will be described with reference to FIG.
- the round key addition in step S402 is an exclusive OR operation process (addRoundKey) of the round key and the input plaintext data (bit slice expression data).
- the round key is a round key generated by the key conversion process in step S111 and the key schedule process in step S112 in the encryption processing unit 110 with the encryption key 81 shown in FIG. 7 as an input.
- This round key generation process is performed in the above-mentioned [4.
- Key conversion process and data conversion process [5.
- Key schedule processing (key schedule processing example 1)] [6.
- the key schedule process (key schedule process example 2)] is the process described in these items.
- the round key is stored in the memory, and the round key is acquired from the area indicated by the key point (pt).
- the plaintext data to be encrypted is the above described [4. As described in [About Key Conversion Process and Data Conversion Process], it is bit slice expression data of the plaintext data 82 shown in FIG. That is, the bit slice expression data stored in the register by the processing described with reference to FIG. In the present embodiment, as shown in FIG. 9, description will be made assuming that encryption processing is performed on bit slice expression data generated based on eight 64-bit plaintexts (a1) to (a8).
- FIG. 59 shows bit slice expression data stored in four 128-bit registers r0 to r3.
- [I, j] which is the data stored in the register of FIG. 59, is a bit slice expression block including a set of the same bits of the eight plaintexts (a1) to (a8) shown in FIG. Of the eight plaintexts (a1) to (a8), The bit slice representation block consisting of the first bit set is [0, 0].
- the bit slice representation block consisting of the second bit set is [1, 0].
- the bit slice representation block consisting of the third bit set is [2, 0].
- the bit slice representation block consisting of the fourth bit set is [3, 0].
- the bit slice representation block consisting of the fifth bit set is [0, 1].
- the bit slice expression block consisting of the set of the 63rd bit is [2,15].
- the bit slice representation block consisting of the 64th bit set is [3, 15].
- XOR exclusive OR operation
- the round key uses data in the area designated by the key pointer (pt). For each exclusive OR operation (XOR) of one register (128 bits), the key pointer (pt) is advanced by 16 blocks (128 bits) and the encryption target stored in the four registers r0 to r3 An exclusive OR operation (XOR) with the bit slice expression data of the plaintext data is executed, and the operation result is stored in the register.
- XOR exclusive OR operation
- Step S403 is a non-linear transformation process (SboxLayer) for the round key addition result in step S402.
- This non-linear conversion process (SboxLayer) is executed as an arithmetic process between registers using four 128-bit registers storing a round key addition result and one temporary register. Specifically, as shown in FIG. 60, it is executed as an arithmetic process between registers. Realized by arithmetic processing.
- the registers shown in FIG. 17: x3, x2, x1, x0, x4 are Four 128-bit registers in which the registers x3 to x0 store the round key addition result, The register x4 corresponds to a register used as a temporary area.
- the result of this non-linear transformation process (SboxLayer) is stored in four 128-bit registers, for example, registers r0 to r4.
- step S404 is a linear conversion process (pLayer) for the nonlinear conversion result of step S403.
- FIG. 61 shows a flowchart for explaining the detailed sequence of this linear conversion process (pLayer). The processing of each step in the flowchart shown in FIG. 61 will be described sequentially. Note that the data to be subjected to the type conversion process (pLayer) is the non-linear conversion result in step S403, and the non-linear conversion result in step S403 is stored in four 128-bit registers r0 to r3 as shown in FIG. Has been.
- step S451 As shown in FIG. 63, a shuffle instruction is executed for the registers r0, r1, r2, and r3, and the result is stored in r0, r1, r2, and r3.
- the shuffle of each register is set as follows.
- Register ri i ⁇ 0, 1, 2, 3 ⁇ . ([I, 0], [i, 1], [i, 2], [i, 3], [i, 4], [i, 5], [i, 6], [i, 7], [ i, 8], [i, 9], [i, 10], [i, 11], [i, 12], [i, 13], [i, 14], [i, 15]) ⁇ ([ i, 0], [i, 4], [i, 8], [i, 12], [i, 1], [i, 5], [i, 9], [i, 13], [i, 2], [i, 6], [i, 10], [i, 14], [i, 3], [i, 7], [i, 11], [i, 15])
- step S452 As shown in FIG. 64, the registers r0 and r2 are copied to the registers r4 and r5.
- step S453 the unpack instruction is executed in double word units for the left 64 bits of the registers r0 and r1 and the registers r2 and r3.
- unpack processing is executed in which the left 8 blocks (64 bits) of the registers r0 and r2 are alternately stored in the register r0 from the left in units of double words (32 bits (4 blocks)).
- unpack processing is executed in which the left 8 blocks (64 bits) of the registers r2 and r3 are alternately stored in the register r2 from the left in units of double words (32 bits (4 blocks)).
- step S454 As shown in FIG. 66, the unpack instruction is executed in double word units for the right 64 bits of the registers r4 and r1 and the registers r5 and r3. As shown in FIG. 66, an unpacking process is executed in which the right 8 blocks (64 bits) of the register r4 and the register r1 are alternately stored from the left in the register r4 in units of double words (32 bits (4 blocks)). Similarly, unpack processing is executed in which the right 8 blocks (64 bits) of the register 5 and the register r3 are alternately stored from the left in the register r5 in units of double words (32 bits (4 blocks)).
- step S455 As shown in FIG. 67, the registers r0 and r4 are copied to the registers r1 and r3.
- step S456 the unpack instruction is executed in units of quad words for the left 64 bits of the registers r0 and r2 and the registers r4 and r5.
- an unpacking process is executed in which the left 8 blocks (64 bits) of the registers r0 and r2 are alternately stored in the register r0 from the left in units of quadwords (64 bits (8 blocks)).
- unpack processing is executed in which the left 8 blocks (64 bits) of the register r4 and the register r5 are alternately stored in the register r4 from the left in units of quadwords (64 bits (8 blocks)).
- step S457 As shown in FIG. 69, the unpack instruction is executed in quadword units for the right 64 bits of the registers r1 and r2 and the registers r3 and r5. As shown in FIG. 69, unpack processing is executed in which the right 8 blocks (64 bits) of the register r1 and the register r2 are alternately stored in the register r1 from the left in units of quadwords (64 bits (8 blocks)). Similarly, unpack processing is executed in which the right 8 blocks (64 bits) of the register r3 and the register r5 are alternately stored in the register r3 from the left in units of quadwords (64 bits (8 blocks)).
- FIG. 70 shows the correspondence between the input and output of the linear transformation process in step S404 of the flow of FIG.
- step S122 of the cryptographic processing unit 110 shown in FIG. 7 the round calculation according to the flow shown in FIG. 57 is repeated a predetermined number of times (32 times) defined in the cryptographic algorithm.
- a data reverse conversion process is performed on the processing result in the next step S123.
- This step S123 is a data reverse conversion process (Data Conversion ⁇ 1 ) for the result of the encryption process (Data Processing) of Step S122, and the bit slice representation data is encrypted data corresponding to the plain text data 82 before being bit sliced. It is processing to return to the set.
- This process is executed as the reverse process of the bit slice expression data generation process described above with reference to FIG. By this processing, encrypted data 91 corresponding to the plain text data 82 is generated as the output data 90.
- the encryption algorithm [PRESENT] is configured to perform a non-linear transformation process to which one Sbox is applied when a round key corresponding to one round is updated.
- the key schedule unit that performs processing by inputting an 80-bit key receives round keys for 32 rounds by two nonlinear conversion processes. It is possible to generate a round key with a small number of instructions, and high-speed processing is realized.
- the information processing apparatus of the present disclosure is an information processing apparatus that does not have dedicated hardware for executing processing of a specific cryptographic algorithm, for example, the above-described cryptographic algorithm [PRESENT].
- the information processing apparatus such as a PC can be executed at high speed.
- the information processing apparatus includes, for example, the server described with reference to FIGS.
- the cryptographic processing according to the above-described embodiment is performed by a data processing unit including a CPU or the like that executes software (program) that defines a cryptographic processing algorithm, a program, or a memory that stores data, such as a PC or a server. It can be executed on the device.
- FIG. 71 illustrates an example of a hardware configuration of an information processing device that executes the cryptographic processing of the present disclosure and the cryptographic processing device.
- a CPU (Central Processing Unit) 701 functions as a data processing unit that executes various processes according to a program stored in a ROM (Read Only Memory) 702 or a storage unit 708. For example, processing according to the above-described sequence is executed.
- ROM Read Only Memory
- a RAM (Random Access Memory) 703 stores programs executed by the CPU 701, data, and the like. For example, a program defining the above-described cryptographic processing sequence is stored.
- the RAM also includes a register that stores data to be applied to each process described above, and also includes a memory area that is used as a work area.
- the CPU 701, ROM 702, and RAM 703 are connected to each other via a bus 704.
- the CPU 701 is connected to an input / output interface 705 via a bus 704.
- the input / output interface 705 is connected to an input unit 706 including various switches, a keyboard, a mouse, and a microphone, and an output unit 707 including a display and a speaker. Yes.
- the CPU 701 executes various processes in response to a command input from the input unit 706, and outputs a processing result to the output unit 707, for example.
- the storage unit 708 connected to the input / output interface 705 includes, for example, a hard disk and stores programs executed by the CPU 701 and various data.
- a communication unit 709 communicates with an external device via a network such as the Internet or a local area network. For example, in the case of the server described with reference to FIGS. 1 to 5, the communication unit 709 receives encrypted data from a large number of user terminals and sensors or the encrypted data for a large number of user terminals and sensors. Execute the transmission process.
- the drive 710 connected to the input / output interface 705 drives a removable medium 711 such as a semiconductor memory such as a magnetic disk, an optical disk, a magneto-optical disk, or a memory card, and executes data recording or reading.
- a removable medium 711 such as a semiconductor memory such as a magnetic disk, an optical disk, a magneto-optical disk, or a memory card, and executes data recording or reading.
- the encryption process for mainly encrypting the plain text as the input data has been described.
- the process of the present disclosure is not limited to the encryption process for encrypting the plain text as the input data.
- the present invention can also be applied to decryption processing for restoring ciphertext as data into plaintext.
- bit slice representation data by bit slice processing for a plurality of encrypted data to be decrypted, generate a bit slice representation key based on the encryption key of each encrypted data, and generate a round key based on the bit slice representation key
- processing is performed by calculation or movement processing for each bit slice expression block stored in the register, and a large amount of data can be processed at high speed.
- the encryption algorithm [PRESENT (key length 80 bits)] is executed on the Intel Core i7 870 processor, a high speed of 11.06 cycles / byte is achieved.
- the execution processing example of the encryption algorithm [PRESENT (key length: 80 bits)] is mainly described, but the processing of the present disclosure can be applied to other algorithms.
- the cryptographic algorithm [Piccolo (key length: 80 bits)] is executed in accordance with the processing of the present disclosure, a high speed of 5.59 cycles / bytes is achieved.
- the speed of Piccolo exceeds the speed record of 6.92 cycles / byte of the US government standard encryption AES on the same known platform (Intel Core i7 920).
- the S-box is calculated by a logical operation instead of a table reference, so that it is possible to increase resistance to side channel attacks such as cache attacks and attacks between virtual machines. . Furthermore, the speedup of cryptographic processing by software in cloud computing processing can complete cryptographic processing in a smaller number of cycles, leading to lower power consumption of the cloud and data center.
- the technology disclosed in this specification can take the following configurations.
- the communication unit receives the device ID of the transmission device of the encrypted data together with the encrypted data, and the data processing unit stores an encryption key corresponding to each encrypted data based on the device ID.
- the encryption key corresponding to each encrypted data is derived by a predetermined calculation based on the selection acquisition from the unit or the device ID, and a bit slice expression key is generated by the bit slice process for the encryption key in the key conversion process
- the data processing unit is the same bit or every nth bit of each encrypted data constituting the bit slice expression data, where n is a power of 2.
- the data processing unit is a bit configured by the same bit or every n bits of each encryption key constituting the bit slice expression key, where n is a power of 2.
- the information processing apparatus according to any one of (1) to (3), wherein the round key is generated by applying arithmetic processing and movement processing in units of slice expression key blocks.
- a plurality of transmitting terminals that generate and transmit encrypted data
- a server for receiving a plurality of encrypted data transmitted by the plurality of transmitting terminals
- the server A data processing unit that executes data processing according to a program that defines a decoding processing sequence;
- the data processing unit according to the program, Data conversion processing for generating bit slice expression data by bit slice processing for a plurality of encrypted data to be decrypted;
- a key conversion process for generating a bit slice expression key by a bit slice process for each encryption key of the plurality of encrypted data;
- a key schedule process for inputting the bit slice expression key and generating a round key for each round in the decryption process; Decryption processing applying the round key to the bit slice representation data;
- Data reverse conversion processing for generating a plurality of plaintext data corresponding to the plurality of encrypted data by reverse conversion of the bit slice processing with respect to the result of the decryption processing, Information processing system to be executed.
- the plurality of transmission terminals transmit the device ID of the transmission device of the encrypted data together with the encrypted data, and the data processing unit of the server corresponds to each encrypted data based on the device ID.
- An encryption key is selectively acquired from a storage unit, or an encryption key corresponding to each encrypted data is derived by a predetermined operation based on the device ID, and in the key conversion process, bit slice processing is performed on the encryption key by bit slice processing.
- the data processing unit of the server is configured by the same bit or every n bits of the encrypted data constituting the bit slice expression data in the decryption process, where n is a power of 2.
- the information processing system according to (5) or (6), wherein a decoding process to which an arithmetic process and a shift process are applied in units of bit slice expression data blocks.
- the data processing unit is a bit configured by the same bit or every n bits of each encryption key constituting the bit slice expression key, where n is a power of 2.
- the round key is generated by applying arithmetic processing and movement processing in units of slice expression key blocks.
- (9) a communication unit that transmits encrypted data to a plurality of data receiving devices; A data processing unit that executes generation processing of a plurality of encrypted data to be transmitted via the communication unit; The data processing unit is configured to execute data processing according to a program that defines a cryptographic processing sequence, The data processing unit, according to the program, Data conversion processing for generating bit slice expression data by bit slice processing for a plurality of plaintext data to be encrypted; A key conversion process for generating a bit slice expression key by a bit slice process for each of the plurality of plaintext data encryption keys; Key schedule processing for inputting the bit slice expression key and generating a round key for each round in the encryption processing; An encryption process applying the round key to the bit slice representation data; Data reverse conversion processing for generating a plurality of encrypted data corresponding to the plurality of plaintext data by reverse conversion of the bit slice processing with respect to the result of the encryption processing, Information processing apparatus to be executed.
- the data processing unit selectively acquires an encryption key corresponding to each plaintext data from the storage unit based on a device ID of a transmission destination to which the encrypted data is transmitted, or each encrypted data based on the device ID Deriving the encryption key corresponding to
- the data processing unit is a bit slice configured by the same bit or every n bits of plaintext data constituting the bit slice expression data, where n is a power of 2.
- the data processing unit is a bit configured by the same bit or every n bits of each encryption key constituting the bit slice expression key, where n is a power of 2.
- the information processing apparatus according to any one of (9) to (11), wherein the round key is generated by applying arithmetic processing and moving processing in units of slice expression key blocks.
- (13) a server that generates and transmits a plurality of encrypted data; A plurality of receiving terminals for receiving encrypted data transmitted by the server;
- the server A data processing unit that executes data processing according to a program that defines an encryption processing sequence;
- the data processing unit according to the program, Data conversion processing for generating bit slice expression data by bit slice processing for a plurality of plaintext data to be encrypted;
- a key conversion process for generating a bit slice expression key by a bit slice process for each of the plurality of plaintext data encryption keys;
- Key schedule processing for inputting the bit slice expression key and generating a round key for each round in cryptographic processing;
- An encryption process applying the round key to the bit slice representation data;
- Data reverse conversion processing for generating a plurality of encrypted data corresponding to the plurality of plaintext data by reverse conversion of the bit slice processing with respect to the result of the encryption processing, Information processing system to be executed.
- the data processing unit of the server selects and acquires an encryption key corresponding to each plaintext data from the storage unit based on the device ID of each of the receiving terminals, or corresponds to each plaintext data based on the device ID.
- the data processing unit of the server is configured by the same bit or every nth bit of each plaintext data constituting the bit slice expression data in the encryption processing, where n is a power of 2.
- the information processing system according to any one of (13) and (14), wherein an encryption process applying a calculation process and a transfer process in units of bit slice expression data blocks is executed.
- the data processing unit of the server is configured by the same bit or every n bits of each encryption key constituting the bit slice expression key, where n is a power of 2.
- the information processing system according to any one of (13) to (15), wherein the round key is generated by applying arithmetic processing and movement processing in units of a bit slice expression key book to be performed.
- the configuration of the present disclosure includes a method of processing executed in the above-described apparatus and system and a program for executing the processing.
- the series of processing described in the specification can be executed by hardware, software, or a combined configuration of both.
- the program recording the processing sequence is installed in a memory in a computer incorporated in dedicated hardware and executed, or the program is executed on a general-purpose computer capable of executing various processing. It can be installed and run.
- the program can be recorded in advance on a recording medium.
- the program can be received via a network such as a LAN (Local Area Network) or the Internet and installed on a recording medium such as a built-in hard disk.
- the various processes described in the specification are not only executed in time series according to the description, but may be executed in parallel or individually according to the processing capability of the apparatus that executes the processes or as necessary.
- the system is a logical set configuration of a plurality of devices, and the devices of each configuration are not limited to being in the same casing.
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
Abstract
Description
具体的には、例えば家庭やオフィスにセンサを配置して電力消費量を管理するシステムや、独居老人宅にセンサを配置して健康・安全管理に利用するサービス、道路や車両にセンサを配置して渋滞検知・緩和に利用する交通システムなどである。
このようなニーズを受けて、軽量暗号技術の研究開発が進んでおり、近年、小型ハードウェア実装の観点で優れた新しい軽量ブロック暗号がいくつか提案されている。代表例としてPRESENT,CLEFIA,KATAN,Piccoloなどがある。
すなわち、ハードウェア実装時に小型化が可能なように、4ビット等の小さなS-boxやビット演算を多用した「軽い」ラウンド関数を多数回繰り返す構造で設計されているものが多い。
この軽量暗号の構造は、進化を続けている汎用プロセッサの利点を生かしきることができず、PCやサーバでのソフトウェア実装では一般に低速であるという課題がある。
また、本開示の一実施例においては、汎用プロセッサ上で動作可能なソフトウェア(プログラム)を適用して暗号処理を実行した場合に、高速処理を可能とした情報処理装置、および情報処理方法、並びにプログラムを提供することを目的とする。
複数のデータ送信装置の送信する暗号化データを受信する通信部と、
前記通信部を介して受信した複数の暗号化データの復号処理を実行するデータ処理部を有し、
前記データ処理部は、復号処理シーケンスを規定したプログラムに従ってデータ処理を実行する構成であり、
前記データ処理部は、前記プログラムに従って、
復号処理対象となる複数の暗号化データに対するビットスライス処理によりビットスライス表現データを生成するデータ変換処理と、
前記複数の暗号化データ各々の暗号鍵に対するビットスライス処理によりビットスライス表現鍵を生成する鍵変換処理と、
前記ビットスライス表現鍵を入力して、復号処理における各ラウンド用のラウンド鍵を生成する鍵スケジュール処理と、
前記ビットスライス表現データに対して前記ラウンド鍵を適用した復号処理と、
前記復号処理の結果に対する前記ビットスライス処理の逆変換により、前記複数の暗号化データに対応する複数の平文データを生成するデータ逆変換処理を、
実行する情報処理装置にある。
暗号化データを生成して送信する複数の送信端末と、
前記複数の送信端末の送信する複数の暗号化データを受信するサーバを有し、
前記サーバは、
復号処理シーケンスを規定したプログラムに従ってデータ処理を実行するデータ処理部を有し、
前記データ処理部は、前記プログラムに従って、
復号処理対象となる複数の暗号化データに対するビットスライス処理によりビットスライス表現データを生成するデータ変換処理と、
前記複数の暗号化データ各々の暗号鍵に対するビットスライス処理によりビットスライス表現鍵を生成する鍵変換処理と、
前記ビットスライス表現鍵を入力して、復号処理における各ラウンド用のラウンド鍵を生成する鍵スケジュール処理と、
前記ビットスライス表現データに対して前記ラウンド鍵を適用した復号処理と、
前記復号処理の結果に対する前記ビットスライス処理の逆変換により、前記複数の暗号化データに対応する複数の平文データを生成するデータ逆変換処理を、
実行する情報処理システムにある。
データ受信装置に対して暗号化データを送信する通信部と、
前記通信部を介して送信する複数の暗号化データの生成処理を実行するデータ処理部を有し、
前記データ処理部は、暗号処理シーケンスを規定したプログラムに従ってデータ処理を実行する構成であり、
前記データ処理部は、前記プログラムに従って、
暗号化処理対象となる複数の平文データに対するビットスライス処理によりビットスライス表現データを生成するデータ変換処理と、
前記複数の平文データ各々の暗号鍵に対するビットスライス処理によりビットスライス表現鍵を生成する鍵変換処理と、
前記ビットスライス表現鍵を入力して、暗号化処理における各ラウンド用のラウンド鍵を生成する鍵スケジュール処理と、
前記ビットスライス表現データに対して前記ラウンド鍵を適用した暗号処理と、
前記暗号処理の結果に対する前記ビットスライス処理の逆変換により、前記複数の平文データに対応する複数の暗号化データを生成するデータ逆変換処理を、
実行する情報処理装置にある。
複数の暗号化データを生成して送信するサーバと、
前記サーバの送信する暗号化データを受信する複数の受信端末を有し、
前記サーバは、
暗号処理シーケンスを規定したプログラムに従ってデータ処理を実行するデータ処理部を有し、
前記データ処理部は、前記プログラムに従って、
暗号処理対象となる複数の平文データに対するビットスライス処理によりビットスライス表現データを生成するデータ変換処理と、
前記複数の平文データ各々の暗号鍵に対するビットスライス処理によりビットスライス表現鍵を生成する鍵変換処理と、
前記ビットスライス表現鍵を入力して、暗号処理における各ラウンド用のラウンド鍵を生成する鍵スケジュール処理と、
前記ビットスライス表現データに対して前記ラウンド鍵を適用した暗号処理と、
前記暗号処理の結果に対する前記ビットスライス処理の逆変換により、前記複数の平文データに対応する複数の暗号化データを生成するデータ逆変換処理を、
実行する情報処理システムにある。
によって構成されるビットスライス表現鍵ブロック単位の演算処理と移動処理を適用して前記ラウンド鍵を生成する。
情報処理装置において実行する情報処理方法であり、
通信部が、複数のデータ送信装置の送信する暗号化データを受信する通信ステップと、
データ処理部が、前記通信部を介して受信した複数の暗号化データの復号処理を実行するデータ処理ステップを実行し、
前記データ処理ステップは、復号処理シーケンスを規定したプログラムに従って、
復号処理対象となる複数の暗号化データに対するビットスライス処理によりビットスライス表現データを生成するデータ変換処理と、
前記複数の暗号化データ各々の暗号鍵に対するビットスライス処理によりビットスライス表現鍵を生成する鍵変換処理と、
前記ビットスライス表現鍵を入力して、復号処理における各ラウンド用のラウンド鍵を生成する鍵スケジュール処理と、
前記ビットスライス表現データに対して前記ラウンド鍵を適用した復号処理と、
前記復号処理の結果に対する前記ビットスライス処理の逆変換により、前記複数の暗号化データに対応する複数の平文データを生成するデータ逆変換処理を、
実行する情報処理方法にある。
情報処理装置において実行する情報処理方法であり、
データ処理部が、複数の暗号化データの生成処理を実行するデータ処理ステップと、
通信部が、前記データ処理部の生成した複数の暗号化データの各々を複数のデータ送信装置各々に送信する通信ステップを実行し、
前記データ処理ステップは、暗号処理シーケンスを規定したプログラムに従って、
暗号化処理対象となる複数の平文データに対するビットスライス処理によりビットスライス表現データを生成するデータ変換処理と、
前記複数の平文データ各々の暗号鍵に対するビットスライス処理によりビットスライス表現鍵を生成する鍵変換処理と、
前記ビットスライス表現鍵を入力して、暗号化処理における各ラウンド用のラウンド鍵を生成する鍵スケジュール処理と、
前記ビットスライス表現データに対して前記ラウンド鍵を適用した暗号処理と、
前記暗号処理の結果に対する前記ビットスライス処理の逆変換により、前記複数の平文データに対応する複数の暗号化データを生成するデータ逆変換処理を、
実行する情報処理方法にある。
情報処理装置において情報処理を実行させるプログラムであり、
データ処理部に、複数の送信機が個別の暗号鍵で生成した暗号化データを入力させ、
前記データ処理に、
復号処理対象となる複数の暗号化データに対するビットスライス処理によりビットスライス表現データを生成するデータ変換処理と、
前記複数の暗号化データ各々の暗号鍵に対するビットスライス処理によりビットスライス表現鍵を生成する鍵変換処理と、
前記ビットスライス表現鍵を入力して、復号処理における各ラウンド用のラウンド鍵を生成する鍵スケジュール処理と、
前記ビットスライス表現データに対して前記ラウンド鍵を適用した復号処理と、
前記復号処理の結果に対する前記ビットスライス処理の逆変換により、前記複数の暗号化データに対応する複数の平文データを生成するデータ逆変換処理を、
実行させるプログラムにある。
情報処理装置において情報処理を実行させるプログラムであり、
データ処理部に、複数の暗号化データの生成処理を実行させるデータ処理ステップと、
通信部が、前記データ処理部の生成した複数の暗号化データの各々を複数のデータ送信装置各々に送信させる通信ステップを実行させ、
前記データ処理ステップにおいては、
暗号化処理対象となる複数の平文データに対するビットスライス処理によりビットスライス表現データを生成するデータ変換処理と、
前記複数の平文データ各々の暗号鍵に対するビットスライス処理によりビットスライス表現鍵を生成する鍵変換処理と、
前記ビットスライス表現鍵を入力して、暗号化処理における各ラウンド用のラウンド鍵を生成する鍵スケジュール処理と、
前記ビットスライス表現データに対して前記ラウンド鍵を適用した暗号処理と、
前記暗号処理の結果に対する前記ビットスライス処理の逆変換により、前記複数の平文データに対応する複数の暗号化データを生成するデータ逆変換処理を、
実行させるプログラムにある。
具体的には、多数のユーザ端末やセンサが個別の暗号鍵で軽量暗号アルゴリズムにより暗号化したデータを送信し、サーバがこれらの暗号化データを受信し、復号処理シーケンスを規定したプログラムに従ってデータ処理を実行する。復号対象となる複数の暗号化データに対するビットスライス処理によりビットスライス表現データを生成し、暗号化データ各々の暗号鍵に基づくビットトスライス表現鍵を生成し、ビットスライス表現鍵に基づいてラウンド鍵を生成し、ビットスライス表現データのブロック単位の演算、移動処理、ラウンド鍵を適用した演算等を含む復号処理を実行し、復号処理結果に対するデータの逆変換により、多数の暗号化データに対応する多数の平文データを生成することが可能となる。
さらに、本開示の一実施例に従ったビットスライス実装ではS-boxをテーブル参照でなく論理演算で計算するため、キャッシュ攻撃や仮想マシン間攻撃のようなサイドチャネル攻撃に対する耐性を高めることができる。さらに、クラウドコンピューティング処理におけるソフトウェアでの暗号処理の高速化は、より少ないサイクル数で暗号処理を完了することができ、クラウドやデータセンターの電力消費量を下げることにつながる。
さらに、軽量暗号にとってこれまで困難であったクラウドでの活用が可能になることで、センサでの軽量暗号実装が促進され、低コスト・低消費電力のセンサネットワークが実現できる。
1.本開示の構成を適用可能なシステムの一例について
2.軽量ブロック暗号アルゴリズム「PRESENT」について
3.情報処理装置(暗号処理装置)の構成と処理シーケンスの概要について
4.鍵変換処理とデータ変換処理について
5.鍵スケジュール処理について(鍵スケジュール処理例1)
6.鍵スケジュール処理について(鍵スケジュール処理例2)
6-1.非線形変換(Sbox)の事前計算処理について
6-2.ラウンド鍵生成、更新処理について
7.暗号処理について
8.情報処理装置および暗号処理装置の構成例について
9.本開示の構成のまとめ
例えば各個人の所有する携帯電話やスマートフォン等の通信端末や、様々な物品に装着されたRFID、あるいは各家屋に配置されたセンサなどから情報を収集してサーバにおいて処理を行う構成を想定する。
多数の情報送信側の装置には暗号処理アルゴリズムを実行する小型のハードウェアを装着して高速で暗号化データを生成して送信することができる。
今後は、このように膨大で多岐にわたるビッグデータを収集、分析し、活用するニーズがますます高まることが予想される。
大量の暗号化データを収集してクラウド構成サーバにアップロードし、クラウドで解析を行うようなケースでは、多くの安価なサーバ上で実行可能なソフトウェア(プログラム)を利用して処理を行わせるスケールアウトの手法が望ましいと考えられる。
本開示の構成が適用可能なシステムとして、例えば図1に示すようなネットワークシステムがある。
図1には、複数の末端ノードが接続されたセンサネットワーク20と、末端ノードの送信データを収集してデータ処理を行うネットワーク接続サーバ群によって構成されるクラウド10を示している。
なお、以下、これらの様々な末端ノード構成機器をまとめて、センサとして説明する。センサには上述した様々な機器が含まれる。
なお、多くの場合、送信データは例えば中継ノード等を介してクラウド10を構成するネットワーク接続サーバに提供される。
センサは、送信データの暗号化を実行して暗号化データを送信する。センサは、例えば軽量暗号アルゴリズムを実行する専用ハードウェアを実装し、これを用いて暗号化を行う。この暗号化のための暗号鍵は、各センサがメモリに保持する個別の暗号鍵、あるいは、例えばセンサIDから所定の演算で導出できる鍵などが利用される。
図2に示す例では、末端ノードA,B,Cをデータ送信ノードの代表例として示している。それぞれのノードはノード固有鍵である暗号鍵を適用して送信データの暗号化を実行して暗号化データによって構成されるブロック(例えば64ビット)を生成し、生成した暗号化データに各センサ(末端ノード)の識別子であるセンサIDを付与して送信する。
代表例として示すセンサA~C以外の多数のセンサからも大量の暗号化データがクラウド上のサーバ、例えば図2に示すサーバS30に送信される。
次に、図1、図2を参照して説明したネットワークシステムにおいて、センサ(末端ノード)の送信データを収集して処理を行うクラウド上のサーバの実行する処理の概要について説明する。
なお、以下の説明において、「暗号処理」とはデータの暗号化処理と復号処理の双方を含むものとする。
ビットスライス暗号処理(暗号化および復号処理を含む)は1997年にBihamにより提案された処理であり、あるクラスの暗号アルゴリズムが、ビットスライス実装により従来のソフトウェア実装よりも高速に実装できることが示された。
図3には、図2に示すサーバS30の、
(A)保持データ
(B)暗号処理シーケンス(復号)
これらを説明する図を示している。
暗号鍵31は、各センサ(末端ノード)固有の鍵として、予めサーバS30が保持しているデータである。
センサID32と暗号化データ33の各データは、各センサからネットワークを介して受信したデータである。
センサIDに基づいて、各暗号化データの暗号化処理に適用された暗号鍵を選択することができる。
図3(B)には、各センサからネットワークを介して受信した暗号化データの復号処理を行う場合の処理例を示している。
ビットスライス暗号処理の処理単位として予め規定した所定のブロック数の暗号化データ33と暗号鍵31が揃ったら、ビットスライス暗号処理に従ったデータ復号処理を行う。
まず、サーバは、
多数のセンサから受信した暗号化データ33を構成する多数の暗号化データブロックから、
1bit目だけを集めたブロック(ビットスライス表現データブロック)、
2bit目だけを集めたブロック(ビットスライス表現データブロック)、
以降最終bit目まで同じビット位置のデータだけを集めたブロック(ビットスライス表現データブロック)、
これらの複数のビットスライス表現データブロックを生成する。
さらに、暗号化データ33の生成に適用された暗号鍵31についても、同様の処理、すなわち、複数の鍵データに対応する複数のビットスライス表現鍵ブロックを生成する。
なお、暗号鍵31の各々は、例えば80bitの鍵データからなる暗号鍵ブロックであり、この暗号鍵31について、各暗号鍵ブロックの同一ビット目、あるいはnビットおきのビット、ただしnは2,4,8,16,64,128などの2のべき数、これらのビットのデータの集合(ビットスライス表現鍵ブロック)を設定する。
本開示の装置では、このビットスライス表現ブロックを処理単位とした演算(AND,OR,XORなど)や、レジスタ格納データのシフト処理や、シャッフルなどのビット位置の転置処理などを、ソフトウェア(プログラム)の適用処理として実行して所定の暗号アルゴリズムに従った処理を実行する。
なお、ステップS12の鍵スケジューリング(Key Scheduling)処理では、このラウンド演算の各ラウンドにおいて適用するラウンド鍵を生成する。
図4に示すフローチャートは、暗号化データに付加されているセンサIDをもとに、各ブロックの復号鍵を用意するステップを、所定のブロック数の暗号化データが揃ってから行う場合のシーケンスを説明するフローチャートである。
図5に示すフローチャートは、暗号化データに付加されているセンサIDをもとに、各ブロックの復号鍵を用意するステップを、各暗号文データブロックの到着ごとに行う場合のシーケンスを説明するフローチャートである。
まず、ステップS31において、ノードから送付される暗号化データブロックを受信する。図3(A)に示すセンサID32と暗号化データ33との組み合わせデータである。
最後に、ステップS34において、暗号化データと暗号鍵の対応セットを暗号処理部50に入力してビットスライス暗号処理に従った復号処理を実行する。
まず、ステップS41において、ノードから送付される暗号化データブロックを受信する。図3(A)に示すセンサID32と暗号化データ33との組み合わせデータである。
例えば、暗号化データを送信する送信先の機器IDに基づいて各平文データに対応する暗号鍵を記憶部から選択取得し、記憶部から選択取得した暗号鍵に対するビットスライス処理によりビットスライス表現鍵を生成する。
さらに、平文データに基づくビットスライス表現データブロックと、暗号鍵に基づくビットスライス表現鍵ブロックを適用して、図3(B)に示す暗号処理部50に示す処理シーケンスに従って暗号化処理を実行して、暗号化データを生成して出力する。
なお、近年のプロセッサは複数の命令を同時発行できるので、レジスタの依存関係等の制約を減らし、なるべく少ないサイクル数で実行できる命令系列で表現できるほど高速化が可能となる。
次に、本開示の実行する暗号処理アルゴリズムの一例である軽量ブロック暗号アルゴリズム「PRESENT」について説明する。
本開示の装置では、ビットスライスを適用した暗号処理として、例えば、ブロックサイズ64ビット,鍵長80ビット及び128ビットに対応した軽量ブロック暗号アルゴリズムである「PRESENT」を実行する。
軽量ブロック暗号アルゴリズム「PRESENT」では、図6に示すように、64ビットの平文ブロックと、例えば80ビットの暗号鍵を入力する。
まず、80ビット暗号鍵に基づいて64ビットのラウンド鍵を生成し、以下の処理を行う。
(ステップS72)さらに、この加算結果に対する非線形変換処理(SboxLayer)を実行する。
(ステップS73)さらに、この非線形変換結果に対して、線形変換処理(pLayer)を行う。
なお、入力鍵データに基づく更新処理(Update)を逐次、実行して、各ラウンドに適用するラウンド鍵(64ビット)の生成処理が行われる。
本開示の「PRESENT」に従った暗号処理を実行する情報処理装置(暗号処理装置)の構成と処理シーケンスについて、図7を参照して説明する。
情報処理装置100は、例えばPC等によって構成可能であり、特定のアルゴリズムに従った暗号処理を実行するための専用ハードウェアは必須構成として持たない装置として構成可能である。
暗号処理を実行するためのソフトウェア(プログラム)をメモリに格納して、プログラムに従った処理を実行して暗号処理を行う。
なお、前述したように暗号処理部110は、平文データを暗号化して暗号化データを生成する暗号化処理においても、暗号化データを復号して平文データを生成する復号処理においても、図に示すステップS111~S112、ステップS121~S123の処理に従った暗号処理を行う。
以下では、暗号化処理と復号処理の1つの代表例として暗号化処理を行う場合の実施例について説明する。
これらの暗号鍵と平文データは1対1に対応づけられている。すなわち、
暗号鍵aによって暗号化される平文データa、
暗号鍵bによって暗号化される平文データb、
暗号鍵cによって暗号化される平文データc、
:
暗号鍵Nによって暗号化される平文データN、
暗号処理部110は、これらN個の暗号鍵と平文データのセットを処理単位として入力して暗号処理を実行する。
同様に、各暗号鍵a,b,cの各々も、所定データ長の鍵データブロック(例えば80bit)によって構成される。
なお、ビットサイズは一例であり、様々なビットサイズのデータや鍵の設定が可能である。
暗号鍵aによって暗号化された暗号化データa、
暗号鍵bによって暗号化された暗号化データb、
暗号鍵cによって暗号化された暗号化データc、
:
暗号鍵Nによって暗号化された暗号化データN、
暗号処理部110は、これらN個の暗号化データを生成して出力する。
ステップS111:鍵変換処理
ステップS112:鍵スケジュール処理
ステップS121:データ変換処理、
ステップS122:暗号処理、
ステップS123:データ逆変換処理、
これらの処理である。
まず、各処理の概要と全体の処理の流れについて簡単に説明し、その後、各処理の詳細について説明する。
ステップS121のデータ変換処理は、平文データ82、すなわち例えば64bitの平文データからなる複数のデータブロックの同一ビット目、あるいはnビットおきのビット、ただしnは2,4,8,16,64,128などの2のべき数、これらのビットのデータの集合であるビットスライス表現ブロックからなるビットスライス表現平文データを生成する処理である。
ビットスライス処理によって生成したビットスライス表現データを構成するブロックを単位としたラウンド鍵との加算(XOR)処理、線形変換処理、非線形変換処理など、暗号アルゴリズムに従った処理をソフトウェア(プログラム)に従って実行する。
以下、各ステップの処理の詳細について、順次、説明する。
まず、図7に示す暗号処理部110の以下の処理、すなわち、
ステップS111:鍵変換処理
ステップS121:データ変換処理、
これらの処理について説明する。
ステップS111の鍵変換処理は、図7に入力データとして示す暗号鍵81、すなわち例えば80bitの鍵データからなる複数の暗号鍵ブロックの同一ビット目、あるいはnビットおきのビット、ただしnは2,4,8,16,64,128などの2のべき数、これらのビットのデータの集合であるビットスライス表現鍵ブロックを生成する処理である。
ステップS111では、この(a1)~(a8)の8つの80bitの鍵データから、ビットスライス表現鍵ブロックを生成して、情報処理装置内のメモリを構成するレジスタ(XMMレジスタ(r0~)や汎用レジスタ(g0~))に格納する。
図8に示す(b1)~(b8)が、ステップS111の鍵変換処理の処理結果であるレジスタ格納データ、すなわち、ビットスライス表現鍵ブロックの格納データである。ここでは8個の128ビットレジスタをビットスライス表現鍵ブロックの格納領域として利用している。
この8ビットデータ[0,0]は8つの80bitの鍵データの1ビット目のみからなる集合であり、1つのビットスライス表現ブロックである。
次に、入力データ(a1)~(a8)の3ビット目のみを集めた8ビットデータ[2,0]を図8(b3)に示すように、XMMレジスタr2に格納する。
次に、入力データ(a1)~(a8)の4ビット目のみを集めた8ビットデータ[3,0]を図8(b4)に示すように、XMMレジスタr3に格納する。
次に、入力データ(a1)~(a8)の5ビット目のみを集めた8ビットデータ[0,1]を図8(b1)に示すように、XMMレジスタr0に格納する。
このように、4ビット単位で、XMMレジスタr0~r3に8ビット単位でデータを格納し、入力データ(a1)~(a8)の前半64ビットまでのデータ(8×64=512ビット)を4つのXMMレジスタr0~r3に格納する。
入力データ(a1)~(a8)の65ビット目のみを集めた8ビットデータ[0,16]を図8(b5)に示すように、XMMレジスタr4(または汎用レジスタg0)に格納する。
次に、入力データ(a1)~(a8)の66ビット目のみを集めた8ビットデータ[1,16]を図8(b6)に示すように、XMMレジスタr5(または汎用レジスタg1)に格納する。
次に、入力データ(a1)~(a8)の67ビット目のみを集めた8ビットデータ[1,16]を図8(b7)に示すように、XMMレジスタr6(または汎用レジスタg2)に格納する。
次に、入力データ(a1)~(a8)の68ビット目のみを集めた8ビットデータ[1,16]を図8(b8)に示すように、XMMレジスタr7(または汎用レジスタg3)に格納する。
入力データである(a1)~(a8)の8つの80bitの鍵データブロックの、
1,5,9,・・・,61ビット目をXMMレジスタr0,
2,6,10,・・・,62ビット目をXMMレジスタr1,
3,7,11,・・・,63ビット目をXMMレジスタr2,
4,8,12,・・・,64ビット目をXMMレジスタr3に格納する。
さらに、入力データである(a1)~(a8)の8つの80bitの鍵データブロックの、
65,69,73,77ビット目をXMMレジスタr4(または汎用レジスタg0)、
66,70,74,78ビット目をXMMレジスタr5(または汎用レジスタg1)、
67,71,75,79ビット目をXMMレジスタr6(または汎用レジスタg2)、
68,72,76,80ビット目をXMMレジスタr7(または汎用レジスタg3)、
に格納する。
なお、レジスタ格納データの識別子として示す[i,j]中、iは、(a1)~(a8)の8つの80bitの鍵データブロックの各入力データの先頭から4ビット単位で0,1,2,3と繰り返し設定されるパラメータであり、4ビット単位の内,どのビットを格納しているかを表す変数を示す。
jは、8つの鍵データ(a1)~(a8)の4ビット単位データの何番目の4ビット単位データであるかを示すパラメータに相当する。
4ビット単位データ中の第1ビット目:i=0、
4ビット単位データ中の第2ビット目:i=1、
4ビット単位データ中の第3ビット目:i=2、
4ビット単位データ中の第4ビット目:i=3、
として設定されるので、
4ビット単位データ中の第3ビット目であることを示す。
第1番目の4ビット単位データ:j=0、
第2番目の4ビット単位データ:j=1、
第3番目の4ビット単位データ:j=2、
:
このように設定される。
[i,j]=[2,1]では、j=1であるので、第2番目の4ビット単位データであることが識別される。
j=1によって、第2番目の4ビット単位データであり、
i=2によって、第2番目の4ビット単位データ中の3番目のデータであることが識別される。
すなわち、先頭からは、第7ビット目のデータの集合によって構成されていることが識別される。
このデータ変換処理は、図8を参照して説明した鍵変換処理と同様のビットスライス表現データへの変換処理である。ただし、入力が8個の64ビットの平文データとなる点が異なる。
入力データである(a1)~(a8)の8つの64bitのデータブロックの、
1,5,9,・・・,61ビット目をXMMレジスタr0,
2,6,10,・・・,62ビット目をXMMレジスタr1,
3,7,11,・・・,63ビット目をXMMレジスタr2,
4,8,12,・・・,64ビット目をXMMレジスタr3に格納する。
図9に示すレジスタ格納データの[i,j]はいずれも8つの平文データ(a1)~(a8)の同一ビット目の集合であり、8ビットデータである。
iは、(a1)~(a8)の8つの64bitの平文データブロックの各入力データの先頭から4ビット単位で0,1,2,3と繰り返し設定されるパラメータであり、4ビット単位の内,どのビットを格納しているかを表す変数を示す。
jは、8つの平文データ(a1)~(a8)の4ビット単位データの何番目の4ビット単位データであるかを示すパラメータである。
次に、図7に示す暗号処理部110の実行するステップS112の処理、すなわち、鍵スケジュール処理の詳細について説明する。
ステップS112の鍵スケジュール処理(Key Scheduling)は、ステップS111の鍵変換処理(Key Conversion)において生成したビットスライス表現鍵ブロックを適用して、暗号処理に適用する複数のラウンド鍵を生成する処理である。
ステップS112では、これらのレジスタに格納されたビットスライス表現鍵データを利用してラウンド鍵の生成処理を行う。
[0,0]=79,
[1,0]=78,
[2,0]=77,
[3,0]=76,
[0,1]~[3,1]=75~72,
[0,2]~[3,2]=71~68,
・・
[0,14]~[3,14]=7~4
[0,15]=3
[1,15]=2
[2,15]=1
[3,15]=0
とする。
[0,0]=79は、8つの80ビット鍵の第1ビットを集めた8ビットデータである。以下、78,77,76,75・・・0は、8つの80ビット鍵の第2,3,4,5・・・最終(80ビット目)を集めた8ビットデータに対応する。
図10に示す通り、0~79まで80個のビットスライスブロックがレジスタに分散して格納されている。
個々のブロックは、8つの暗号鍵の同一ビット目の集合からなる8ビットデータからなるブロック(ビットスライス表現ブロック)である。
以下に説明するように、このブロックを単位としたブロック単位の処理を実行することで、8つの鍵を個別に適用した暗号処理と同様の処理を1回の暗号処理で実行することができる。
例えば、図6に示す通常のPRESENTアルゴリズムにおいて、64ビット平文に適用する各ラウンドのラウンド鍵は64ビットとなるが、図7に示すビットスライスデータを適用した暗号処理を実行するステップS122の暗号処理は、ビットスライス表現ブロック単位の処理として実行する。
すなわち、平文は、64ブロックを単位として暗号処理を行うことになり、この暗号処理に適用するラウンド鍵も64ブロックのラウンド鍵となる。
本開示のビットスライス暗号処理に適用するラウンド鍵は、64ブロックのラウンド鍵、すなわち64×8ビット=512ビットのラウンド鍵となる。
生成したラウンド鍵は、図11に示すように、鍵ポインタ(pt)によって指定されるメモリ領域(m0~m3)に書き出す。
まず、ステップS201において、入力データと初期データの設定を行う。
具体的には、入力データとしてレジスタに格納したビットスライス表現鍵データを入力する。さらに、生成したラウンド鍵を書きだすメモリ領域を示すポインタ(pt)、生成するラウンド鍵のラウンド番号Rnの設定を行う。初期設定としてはRn=0とし、以降、Rn=1,2,3・・・と順次、増加してRn=31までの32本のラウンド鍵を生成する。
この詳細処理については、後段で説明する。
なお、図11に示すように、レジスタr0,r1,r2,r3,r4,r5,r6,r7にビットスライス処理によって生成したビットスライス表現鍵ブロックが格納されているものとする。
すなわち、図14に示すように、レジスタr1,r2,r3,r4をレジスタr9,r10,r11,r8にコピーする。
なお、本開示の装置において実行するシャッフルは、1つのレジスタに格納されたデータをブロック単位で入れ替えて同じレジスタに格納する処理である。すなわち、レジスタ内のブロック単位のデータをブロック単位で入れ替える処理である。
[0,0],[0,1],[0,2],[0,3],[0,4],[0,5],[0,6],[0,7],[0,8],[0,9],[0,10],[0,11],[0,12],[0,13],[0,14],[0,15]
ステップS222のシフト処理は以下のシフト処理として実行する。
すなわち、8ビットデータ単位の左方向シフトを実行する。
この結果が図15に示すデータとなる。
図16に示すように、レジスタr9,r10,r11,r8の格納データであるブロック18,17,16,15に対して非線形変換(Sbox論理命令列)処理を実行した結果を、レジスタr8,r9,r10,r11に格納する。非線形変換処理結果は、図16に示す以下のデータである。
レジスタr8のデータS0、
レジスタr9のデータS1、
レジスタr10のデータS2、
レジスタr11のデータS3、
なお、本実施例で適用する非線形変換(Sbox論理命令列)処理は、例えば図17に示す論理命令列をレジスタ間の格納データ間で実行する演算処理として実行される。
図17の論理命令列として示すレジスタ:x3,x2,x1,x0,x4は、それぞれ図16に示すレジスタr9,r10,r11,r8,r12に対応する。
なお、図16に示すレジスタr12は、図17に示す論理命令列中のレジスタx4に対応し、演算処理の中間データ等を格納するテンポラリ領域として利用する。
図18に、レジスタr8,r9,r10,r11の格納データを左120ビットシフトした結果を示す。
レジスタr4と予め既定したデータからなるマスク0(MASK0)とのAND処理、
レジスタr5,r6,r7と予め既定したデータからなるマスク1(MASK1)とのAND処理を行う。
なお、マスクの値はレジスタに保持しておく必要はない。
マスク1(MASK1)は、図19に示すように、8ビットデータ単位の2~5番目のブロックのビットのみを1、その他を0としたマスクである。
このマスクデータとのAND処理によって、図19に示すように、レジスタr4~r7の先頭8ビットデータは0に書き換えられる。
図20にこれらの排他的論理和演算(XOR)処理と処理結果の格納データを示す。
これらの排他的論理和演算(XOR)処理の結果、レジスタr4,r5,r6,r7の先頭8ビットには、レジスタr11,r8,r9,r10の先頭8ビットデータであるステップS223の非線形変換処理(Sbox)の演算結果が格納される。
シャッフル処理の処理前と処理後のレジスタr0,r1,r2,r3の格納データを図21に示す。
[0,0,[0,1],[0,2],[0,3],[0,4],[0,5],[0,6],[0,7],[0,8],[0,9],[0,10],[0,11],[0,12],[0,13],[0,14],[0,15]
とする。
([0,0],[0,1],[0,2],[0,3],[0,4],[0,5],[0,6],[0,7],[0,8],[0,9],[0,10],[0,11],[0,12],[0,13],[0,14],[0,15])→([0,12],[0,13],[0,14],[0,15],[0,0],[0,1],[0,2],[0,3],[0,4],[0,5],[0,6],[0,7],[0,8],[0,9],[0,10],[0,11])
([0,0],[0,1],[0,2],[0,3],[0,4],[0,5],[0,6],[0,7],[0,8],[0,9],[0,10],[0,11],[0,12],[0,13],[0,14],[0,15])→([0,11],[0,12],[0,13],[0,14],[0,15],[0,0],[0,1],[0,2],[0,3],[0,4],[0,5],[0,6],[0,7],[0,8],[0,9],[0,10])
レジスタr8と、マスク2(MASK2)のAND処理、
レジスタr9,r10,r11と、マスク3(MASK3)のAND処理、
これらのAND処理を実行して、その結果をレジスタr8,r9,r10,r11に格納する。
これらの処理結果を図22に示す。
マスク3(MASK3)は、図22に示すように、先頭40ビット=0、その後88ビット=1のマスクデータである。
この排他的論理和演算(XOR)処理を図23に示す。
ラウンドカウンタは、
ラウンド数:0~31に応じた2進数表現としての00000~11111の各カウント値に設定する。
このカウント値01101に対して、レジスタr5,r6,r7,r4の右8ビット,r1の左8ビットとのXOR演算を行う。
なお、ラウンドカウンタのカウント値00000~11111とのXOR演算の順番は、各レジスタの格納値の元のデータの上位ビットからの順番とする。図24に示す例では、値の大きい順番であり、38,37,36,35,34の順番とする。
すなわちレジスタ順としては、r5,r6,r7,r4,r1となる。
上位から、
カウント値01101の第1ビット目の0に対して、レジスタr5の右8ビットデータ(図24に示すレジスタr5の[38])
カウント値01101の第2ビット目の1に対して、レジスタr6の右8ビットデータ(図24に示すレジスタr6の[37])
カウント値01101の第3ビット目の1に対して、レジスタr7の右8ビットデータ(図24に示すレジスタr7の[36])
カウント値01101の第4ビット目の0に対して、レジスタr4の右8ビットデータ(図24に示すレジスタr6の[35])
カウント値01101の第5ビット目の1に対して、レジスタr1の左8ビットデータ(図24に示すレジスタr1の[34])
これらの値同士のXOR演算を実行して、それぞれのデータを更新する。
マスク4(MASK4)は先行120ビット=0、末尾8ビット=1に設定されたマスクデータである。
マスク5(MASK5)は、先行8ビット=1、末尾120ビット=0に設定されたマスクデータである。
レジスタr5,r6,r7,r4とのXORにMASK4,レジスタr1とのXORにはMASK5を用いる。
レジスタr6,r7とマスク4(MASK4)とのXOR演算、
レジスタr1と、マスク5(MASK5)とのXOR演算、
これらのみを実行する構成としてもよい。
レジスタr5,r6,r7,r4,r1,r2,r3,r0の格納データを次のラウンド鍵生成用のブロックとする。
このレジスタr5,r6,r7,r4,r1,r2,r3,r0に格納されたブロックから64ブロックを次のラウンドのラウンド鍵として設定する。
以下、この更新されたレジスタ格納ブロックを適用して、図13のフローに従った処理を繰り返して32個のラウンド鍵を生成する。
この初期設定ブロックから64ブロックが初期のラウンド鍵として選択される。
その後、この図26(A)に示すレジスタ初期格納データである80ブロックに対して、図13に示すフローに従った処理を実行する。すなわち、図14~図25を参照して説明した処理を行いレジスタの更新を行う。
このレジスタ更新処理をまとめて示したのが図26(B)である。
レジスタ更新処理は、
(a)ブロック単位のシフト処理やシャッフル処理等からなるローテーション処理、
(b)ブロック単位の非線形変換処理(Sbox)、
(c)ブロックとラウンドカウンタ(00000~111111)との排他的論理和演算、
これらの各処理を含む処理として実行される。
これらの結果として、図26(B)の再下段に示すレジスタ更新データ、すなわち次のラウンド鍵を生成するためのデータが設定される。このレジスタのブロックから左から64ブロックを選択し、これをラウンド鍵として設定する。
その後は、この図26(B)の再下段に示すレジスタ更新データに対して、図26(B)の鍵更新を繰り返してレジスタ更新を行い、順次ラウンド鍵を生成する。
次に、図7に示す暗号処理部110において実行するステップS112の鍵スケジュール処理のもう1つの実施例について説明する。
前章の[5.鍵スケジュール処理について(鍵スケジュール処理例1)]において説明した鍵スケジュール部では各ラウンド毎に、毎回、Sbox、すなわち非線形変換処理を行うことが必要となる。すなわち、図16、図17を参照して説明した4つのブロックに対する非線形変換処理(Sbox)である。
この非線形変換処理は、図17に示すように演算ステップ数が多く、処理時間を増加させてしまうという問題がある。
本処理例の鍵スケジュール部の実行する処理を説明するフローを図27に示す。
図27のフローのステップS254、S259の処理は、図12のフローのステップS203の処理と同様の処理である。
図27のフローのステップS256、S261の処理は、図12のフローのステップS205の処理と同様の処理である。
図27のフローのステップS262の処理は、図12のフローのステップS206の処理と同様の処理である。
これらの処理についての説明は省略し、以下、図12を参照して説明した鍵スケジュール処理と異なる処理について説明する。
ステップS252とステップS257において実行する非線形変換処理(Sbox)の事前計算処理の詳細シーケンスを説明するフローを図28、図29に示す。
初期状態は、図30に示すように、79~0の各ビットスライス表現鍵ブロックがレジスタに格納されているものとする。これば、先に図10、図11を参照して説明した設定と同様である。
例えば、[79]のビットスライス表現鍵ブロックは、8つの80ビット鍵の第1ビットを集めた8ビットデータである。以下、78,77,76,75・・・0は、8つの80ビット鍵の第2,3,4,5・・・最終(80ビット目)を集めた8ビットデータに対応する。
図31に示すように、レジスタr0,r1,r2,r3をレジスタr12,r13,r14,r15にコピーし、レジスタr12,r13,r14,r15に対してシャッフル命令を行う。
レジスタr12,r13,r14,r15のシャッフル前のデータの並び(=レジスタr0,r1,r2,r3と同じ)を左から、[0,0],[0,1],[0,2],[0,3],[0,4],[0,5],[0,6],[0,7],[0,8],[0,9],[0,10],[0,11],[0,12],[0,13],[0,14],[0,15]としたとき、各レジスタのシャッフルは以下の設定とする。
([0,0],[0,1],[0,2],[0,3],[0,4],[0,5],[0,6],[0,7],[0,8],[0,9],[0,10],[0,11],[0,12],[0,13],[0,14],[0,15])→([0,1],[0,2],[0,3],[0,4],[0,6],[0,7],[0,8],[0,9],[0,11],[0,12],[0,13],[0,14],[0,15],[0,0],[0,0],[0,0])
([0,0],[0,1],[0,2],[0,3],[0,4],[0,5],[0,6],[0,7],[0,8],[0,9],[0,10],[0,11],[0,12],[0,13],[0,14],[0,15])→([0,1],[0,2],[0,3],[0,4],[0,6],[0,7],[0,8],[0,9],[0,10],[0,11],[0,12],[0,13],[0,15],[0,0],[0,0],[0,0])
[0,0],[0,1],[0,2],[0,3],[0,4],[0,5],[0,6],[0,7],[0,8],[0,9],[0,10],[0,11],[0,12],[0,13],[0,14],[0,15])→([0,1],[0,2],[0,3],[0,4],[0,5],[0,6],[0,7],[0,8],[0,10],[0,11],[0,12],[0,13],[0,15],[0,0],[0,0],[0,0]
図32に示すように、レジスタr4,r5,r6,r7のデータをレジスタr8,r9,10,r11に格納し、r8を右12バイト論理シフト,r9,r10,r11を右13バイト論理シフトする。
図33に示すように、
レジスタr12とマスク6(MASK6)とのAND処理、
レジスタr13,r14,r15とマスク7(MASK7)とのAND処理を実行する。
マスク6(MASK6)は先頭96ビット=0、後続32ビット=1のマスクである。
マスク7(MASK7)は先頭104ビット=0、後続24ビット=1のマスクである。
図34に示すように、レジスタr8,r9,r10,r11とレジスタr12,r13,r14,r15で排他的論理和演算(XOR)を行い、レジスタr12,r13,r14,r15に結果を格納する。
図35に示すように、レジスタr13,r14,r15に対して,シャッフル命令を行う。
レジスタr13,r14,r15のシャッフル前のデータの並び(=レジスタr0,r1,r2,r3と同じ)を左から、[0,0],[0,1],[0,2],[0,3],[0,4],[0,5],[0,6],[0,7],[0,8],[0,9],[0,10],[0,11],[0,12],[0,13],[0,14],[0,15]としたとき、各レジスタのシャッフルは以下の設定とする。
([0,0],[0,1],[0,2],[0,3],[0,4],[0,5],[0,6],[0,7],[0,8],[0,9],[0,10],[0,11],[0,12],[0,13],[0,14],[0,15])→([0,12],[0,13],[0,14],[0,15],[0,0],[0,1],[0,2],[0,3],[0,4],[0,5],[0,6],[0,7],[0,8],[0,9],[0,10],[0,11])
([0,0],[0,1],[0,2],[0,3],[0,4],[0,5],[0,6],[0,7],[0,8],[0,9],[0,10],[0,11],[0,12],[0,13],[0,14],[0,15])→([0,8],[0,9],[0,10],[0,11],[0,12],[0,13],[0,14],[0,15],[0,0],[0,1],[0,2],[0,3],[0,4],[0,5],[0,6],[0,7])
([0,0],[0,1],[0,2],[0,3],[0,4],[0,5],[0,6],[0,7],[0,8],[0,9],[0,10],[0,11],[0,12],[0,13],[0,14],[0,15])→([0,4],[0,5],[0,6],[0,7],[0,8],[0,9],[0,10],[0,11],[0,12],[0,13],[0,14],[0,15],[0,0],[0,1],[0,2],[0,3])
図36に示すように、レジスタr13,15をr9,r11にコピーする。
図37に示すように、レジスタr13,r14と,r15,r12の左64ビットに対してバイト単位のアンパック処理を実行する。
なお、本開示の処理におけるアンパック処理とは、例えば2つのレジスタに格納されたデータを、上位または下位からブロックを最小単位として選択して、上記2つのレジスタ中の一方のレジスタに交互に格納する処理である。
具体的には、例えば、2つのレジスタから各レジスタに格納された全ブロックの1/2のブロックを各々選択して、1つのレジスタに再格納する処理である。
同様に、レジスタ15とレジスタr12の左8ブロック(64ビット)をブロック(8ビット)単位で、レジスタr15に左から交互に格納するアンパック処理を実行する。
図38に示すように、レジスタr9,r14と,r11,r12の右64ビットに対してバイト単位のアンパック処理を実行する。
図38に示すように、レジスタr9とレジスタr14の右8ブロック(64ビット)をブロック(8ビット)単位で、レジスタr9に右から交互に格納するアンパック処理を実行する。
同様に、レジスタ11とレジスタr12の右8ブロック(64ビット)をブロック(8ビット)単位で、レジスタr11に右から交互に格納するアンパック処理を実行する。
図39に示すように、レジスタr13,r9をr12,r14にコピーする。
図40に示すように、レジスタr12,r15と,レジスタr14,r11の左64ビットに対して8ビットブロック2個単位のワード単位でアンパックする。
図40に示すように、レジスタr12とレジスタr15の左8ブロック(64ビット)を2ブロック(16ビット)のワード単位で、レジスタr12に左から交互に格納するアンパック処理を実行する。
同様に、レジスタr14とレジスタr11の左8ブロック(64ビット)を2ブロック(16ビット)のワード単位で、レジスタr14に左から交互に格納するアンパック処理を実行する。
図41に示すように、レジスタr13,r15と,レジスタr9,r11の左64ビットに対して8ビットブロック2個単位のワード単位でアンパックする。
図41に示すように、レジスタr13とレジスタr15の右8ブロック(64ビット)を2ブロック(16ビット)のワード単位で、レジスタr13に左から交互に格納するアンパック処理を実行する。
同様に、レジスタr9とレジスタr11の右8ブロック(64ビット)を2ブロック(16ビット)のワード単位で、レジスタr9に左から交互に格納するアンパック処理を実行する。
図42に示すように、レジスタr13,r14,r9に対して,シャッフル命令を実行する。
レジスタr13,r14,r9のシャッフル前のデータの並び(=レジスタr0,r1,r2,r3と同じ)を左から、[0,0],[0,1],[0,2],[0,3],[0,4],[0,5],[0,6],[0,7],[0,8],[0,9],[0,10],[0,11],[0,12],[0,13],[0,14],[0,15]としたとき、各レジスタのシャッフルは以下の設定とする。
([0,0],[0,1],[0,2],[0,3],[0,4],[0,5],[0,6],[0,7],[0,8],[0,9],[0,10],[0,11],[0,12],[0,13],[0,14],[0,15])→([0,1],[0,2],[0,3],[0,0],[0,5],[0,6],[0,7],[0,4],[0,9],[0,10],[0,11],[0,8],[0,13],[0,14],[0,15],[0,12])
([0,0],[0,1],[0,2],[0,3],[0,4],[0,5],[0,6],[0,7],[0,8],[0,9],[0,10],[0,11],[0,12],[0,13],[0,14],[0,15])→([0,2],[0,3],[0,0],[0,1],[0,6],[0,7],[0,4],[0,5],[0,10],[0,11],[0,8],[0,9],[0,14],[0,15],[0,12],[0,13])
([0,0],[0,1],[0,2],[0,3],[0,4],[0,5],[0,6],[0,7],[0,8],[0,9],[0,10],[0,11],[0,12],[0,13],[0,14],[0,15])→([0,3],[0,0],[0,1],[0,2],[0,7],[0,4],[0,5],[0,6],[0,8],[0,11],[0,9],[0,10],[0,15],[0,12],[0,13],[0,14])
図43に示すように、レジスタr12,r13,r14,r9と、マスク8(MASK8),マスク9(MASK9),マスク10(MASK10),マスク11(MASK11)のANDを求め、それぞれのレジスタに格納する。
なお、マスク8(Mask8)は、先行64ビット=0、後続64ビット=1のマスク、
マスク9(MASK9)は、先頭から32ビット単位で0,1,0,1の設定されたマスクである。
マスク10(MASK10)は先頭から16ビット連続0と16ビット連続1が交互に出現するマスク、
マスク11(MASK11)は先頭から8ビット連続0と8ビット連続1が交互に出現するマスクである。
図44に示すように、レジスタr12,r13,r14,r9のデータに対する非線形変換処理(Sbox)を実行する。
非線形変換処理は、先に図17を参照して説明した処理である。
この非線形変換処理結果を、レジスタr9,r14,r13,r12に格納する。なお、この処理に際して、レジスタr8をテンポラリ領域として利用する。
なお、このSbox事前計算後,鍵更新処理を実行する前にレジスタr9,r14,r13,r12をr12,r13,r14,r15に格納しておく。
なお、このレジスタの入れ替え処理は、プログラム上では,レジスタを読み替えるだけの処理で実行できる。
本実施例では、これらの2回の非線形変換処理(Sbox)のみで、全ラウンドのラウンド鍵生成に必要となる非線型変換処理(Sbox)結果を生成することが可能となる。
次に、図27に示すフローのステップS255と、ステップS260のラウンド鍵生成更新処理の詳細について、図46以下を参照して説明する。
図46に示すフローに従って、図27のフローのステップS255とステップS260において実行するラウンド鍵生成更新処理の詳細シーケンスについて説明する。
図47に示すように、レジスタr0,r1,r2,r3,r4,r5,r6,r7にビットスライス表現の鍵が格納されている。
また、レジスタr12,r13,r14,r15に、前述した(6-1.非線形変換(Sbox)の事前計算処理について)において説明した処理によって生成した事前計算した非線形変換(Sbox)処理の結果が格納されているものとする。
図48に示すように、非線形変換(Sbox)処理の結果が格納されているレジスタr12,r13,r14,r15をレジスタr8,r9,r10,r11にコピーし、マスク5(MASK5)とAND処理を実行する。
事前計算した非線型変換処理(Sbox)の値は、レジスタr12,r13,r14,r15の左8ビットを使用する。
図49に示すように、レジスタr12,r13,r14,r15を左8ビット論理シフトする。
図50に示すように、レジスタr5,r6,r7を右8ビット論理シフトし,r4とMASK0,r5,r6,r7とMASK1でANDを取る。
この処理は、図13のフローのステップS225の処理と同様の処理である。
レジスタr4と予め既定したデータからなるマスク0(MASK0)とのAND処理、
レジスタr5,r6,r7と予め既定したデータからなるマスク1(MASK1)とのAND処理を行う。
なお、マスクの値はレジスタに保持しておく必要はない。
マスク1(MASK1)は、図50に示すように、8ビットデータ単位の2~5番目のブロックのビットのみを1、その他を0としたマスクである。
このマスクデータとのAND処理によって、図50に示すように、レジスタr4~r7の先頭8ビットデータは0に書き換えられる。
図51に示すように、レジスタr4,r5,r6,r7とレジスタr11,r8,r9,r10の排他的論理和演算(XOR)を実行して、出力をレジスタr4,r5,r6,r7に格納する。
この処理は、図13のフローのステップS226の処理と同様の処理である。
図52に示すように、レジスタr0,r1,r2,r3に対してシャッフル命令を実行し,シャッフル結果をレジスタr0,r1,r2,r3に格納する。
シャッフル処理の処理前と処理後のレジスタr0,r1,r2,r3の格納データを図52に示す。
この処理は、図13のフローのステップS227の処理と同様の処理である。
[0,0,[0,1],[0,2],[0,3],[0,4],[0,5],[0,6],[0,7],[0,8],[0,9],[0,10],[0,11],[0,12],[0,13],[0,14],[0,15]
とする。
([0,0],[0,1],[0,2],[0,3],[0,4],[0,5],[0,6],[0,7],[0,8],[0,9],[0,10],[0,11],[0,12],[0,13],[0,14],[0,15])→([0,12],[0,13],[0,14],[0,15],[0,0],[0,1],[0,2],[0,3],[0,4],[0,5],[0,6],[0,7],[0,8],[0,9],[0,10],[0,11])
([0,0],[0,1],[0,2],[0,3],[0,4],[0,5],[0,6],[0,7],[0,8],[0,9],[0,10],[0,11],[0,12],[0,13],[0,14],[0,15])→([0,11],[0,12],[0,13],[0,14],[0,15],[0,0],[0,1],[0,2],[0,3],[0,4],[0,5],[0,6],[0,7],[0,8],[0,9],[0,10])
図53に示すように、レジスタr0,r1,r2,r3のデータをレジスタr8,r9,r10,r11にコピーし、さらに、
レジスタr8と、マスク2(MASK2)のAND処理、
レジスタr9,r10,r11と、マスク3(MASK3)のAND処理、
これらのAND処理を実行して、その結果をレジスタr8,r9,r10,r11に格納する。
この処理は、図13のフローのステップS228の処理と同様の処理である。
マスク3(MASK3)は、図53に示すように、先頭40ビット=0、その後88ビット=1のマスクデータである。
図54に示すように、レジスタr4,r5,r6,r7とレジスタr8,r9,r10,r11の排他的論理和演算(XOR)を実行して,結果をr4,r5,r6,r7に格納する。
この処理は、図13のフローのステップS229の処理と同様の処理である。
図55に示すように、レジスタr5,r6,r7,r4の右8ビット,r1の左8ビットに対して,予め設定したカウント値であるラウンドカウンタ(roundcounter)の値との排他的論理和演算(XOR)を行う。
この処理は、図13のフローのステップS230の処理と同様の処理である。
ラウンドカウンタは、
ラウンド数:0~31に応じた2進数表現としての00000~11111の各カウント値に設定する。
このカウント値01101に対して、レジスタr5,r6,r7,r4の右8ビット,r1の左8ビットとのXOR演算を行う。
なお、ラウンドカウンタのカウント値00000~11111とのXOR演算の順番は、各レジスタの格納値の元のデータの上位ビットからの順番とする。図24に示す例では、値の大きい順番であり、38,37,36,35,34の順番とする。
すなわちレジスタ順としては、r5,r6,r7,r4,r1となる。
上位から、
カウント値01101の第1ビット目の0に対して、レジスタr5の右8ビットデータ(図55に示すレジスタr5の[38])
カウント値01101の第2ビット目の1に対して、レジスタr6の右8ビットデータ(図55に示すレジスタr6の[37])
カウント値01101の第3ビット目の1に対して、レジスタr7の右8ビットデータ(図55に示すレジスタr7の[36])
カウント値01101の第4ビット目の0に対して、レジスタr4の右8ビットデータ(図55に示すレジスタr6の[35])
カウント値01101の第5ビット目の1に対して、レジスタr1の左8ビットデータ(図55に示すレジスタr1の[34])
これらの値同士のXOR演算を実行して、それぞれのデータを更新する。
マスク4(MASK4)は先行120ビット=0、末尾8ビット=1に設定されたマスクデータである。
マスク5(MASK5)は、先行8ビット=1、末尾120ビット=0に設定されたマスクデータである。
レジスタr5,r6,r7,r4とのXORにMASK4,レジスタr1とのXORにはMASK5を用いる。
レジスタr6,r7とマスク4(MASK4)とのXOR演算、
レジスタr1と、マスク5(MASK5)とのXOR演算、
これらのみを実行する構成としてもよい。
レジスタr5,r6,r7,r4,r1,r2,r3,r0の格納データを次のラウンド鍵生成用のブロックとする。
このレジスタr5,r6,r7,r4,r1,r2,r3,r0に格納されたブロックから64ブロックを次のラウンドのラウンド鍵として設定する。
以下、この更新されたレジスタ格納ブロックを適用して、図46のフローに従った処理を繰り返して32個のラウンド鍵を生成する。
この(鍵スケジュール処理例2)の処理数の削減効果について考察する。
(A)鍵スケジュール処理例1(図12、図13のフローに従った処理)
(B)鍵スケジュール処理例2(図27~図29、図46のローに従った処理)
これらの2つの鍵スケジュール処理の処理ステップ数を比較すると、以下の通りとなる。
Sbox事前計算なしの鍵更新処理に要する命令数は、以下の通りである。
鍵更新処理:1847(=57×31+80)
(B)鍵スケジュール処理例2
Sbox事前計算ありの鍵更新処理に要する命令数は、以下の通りである。
Sbox事前計算+鍵更新処理:1411
(Sbox事前計算:132(=66×2),鍵更新処理:1289(39×31+80))
このように、(B)鍵スケジュール処理例2は、(A)鍵スケジュール処理例1に比較して処理ステップの数を削減でき、より高速な処理が実現される。
次に、図7に示す暗号処理部110の実行するステップS122の処理、すなわち、暗号処理の詳細について説明する。
ステップS122の暗号処理(Data Processing)は、ステップS111のデータ変換処理(Data Conversion)において平文データに基づいて生成したビットスライス表現データに対して、ラウンド鍵を適用した暗号処理を実行するステップである。
図57以下を参照して、この暗号処理の詳細について説明する。
具体的には、レジスタに格納した暗号化処理対象となる平文データのビットスライス表現データを入力する。
これは、図7のステップS121のデータ変換処理において生成したデータであり、図9を参照して説明した平文データ82の変換処理によって生成したビットスライス表現データある。すなわち、図9に示すビットスライス表現ブロック[0,0]~[3,15]の64ブロックを入力する。
図9に示すビットスライス表現ブロック[0,0]~[3,15]は、本実施例では、暗号処理対象となる8つの平文の同一ビット目を格納したブロックであり、各々8ビットデータである。
ステップS402:ラウンド鍵加算、すなわちラウンド鍵と入力平文データ(ビットスライス表現データ)との排他的論理和演算処理(addRoundKey)、
ステップS403:ラウンド鍵加算結果に対する非線形変換処理(SboxLayer)、
ステップS404:非線形変換結果に対する線型変換処理(pLayer)、
これらの処理を実行する。
なお、これらの処理の詳細については後述する。
Rn=31未満である場合は、次ラウンド処理として、ステップS402~S404の処理を実行する。
この出力暗号文に対して、図7に示すステップS23のデータ逆変換処理が実行され、最終的な暗号文90として出力される。
図58は、2ラウンド分の、
(a)ラウンド鍵加算(addRoundKey)、
(b)非線形変換(SboxLayer)、
(c)線形変換(pLayer)
これらの3処理を示している。
この3種類の処理からなるラウンド演算を複数ラウンド繰り返し実行して、暗号文を出力する。
(a)ラウンド鍵加算(addRoundKey)、
(b)非線形変換(SboxLayer)、
(c)線形変換(pLayer)
これらの3処理を実行する。
まず、ステップS402の鍵加算処理(addRoundKey)についして、図59を参照して説明する。
ラウンド鍵は、図7に示す暗号鍵81を入力として、暗号処理部110におけるステップS111の鍵変換処理と、ステップS112の鍵スケジュール処理によって生成されたラウンド鍵である。
このラウンド鍵生成処理は、前述の[4.鍵変換処理とデータ変換処理について]、[5.鍵スケジュール処理について(鍵スケジュール処理例1)]、[6.鍵スケジュール処理について(鍵スケジュール処理例2)]、これらの項目において説明した処理である。
ラウンド鍵は、メモリに格納されており、鍵ボイント(pt)の示す領域からラウンド鍵を取得する。
なお、本実施例では、図9に示すように(a1)~(a8)の8つの64ビット平文に基づいて生成されたビットスライス表現データに対する暗号処理を行うものとして説明する。
8つの平文(a1)~(a8)の、
第1ビット目の集合からなるビットスライス表現ブロックが[0,0]
第2ビット目の集合からなるビットスライス表現ブロックが[1,0]
第3ビット目の集合からなるビットスライス表現ブロックが[2,0]
第4ビット目の集合からなるビットスライス表現ブロックが[3,0]
第5ビット目の集合からなるビットスライス表現ブロックが[0,1]
・・
第63ビット目の集合からなるビットスライス表現ブロックが[2,15]
第64ビット目の集合からなるビットスライス表現ブロックが[3,15]
であり、これらの8ビットからなるビットスライス表現ブロック[0,0]~[3,15]が4つのレジスタr0~r3に分散して格納されている。
排他的論理和演算(XOR)処理を実行する平文とラウンド鍵は、いずれも、8ビットのビットスライス表現ブロック64ブロック分のデータである。
各レジスタ(=128ビットレジスタ(16ブロック分))単位で、ポインタ(pt)によって指定されるメモリ位置に格納されたラウンド鍵(128ビット(16ブロック))との排他的論理和演算(XOR)処理を実行する。
1つのレジスタ(128ビット)の排他的論理和演算(XOR)毎に、鍵ポインタ(pt)を16ブロック(128ビット)ずつ進めながら,4本のレジスタr0~r3に格納された暗号化対象となる平文データのビットスライス表現データとの排他的論理和演算(XOR)を実行して、演算結果をレジスタに格納する。
ステップS403は、ステップS402におけるラウンド鍵加算結果に対する非線形変換処理(SboxLayer)である。
具体的には、図60に示すように、レジスタ間の演算処理として実行する。
演算処理によって実現される。
図17に示すレジスタ:x3,x2,x1,x0,x4は、
レジスタx3~x0がラウンド鍵加算結果を格納した128ビットレジスタ4本、
レジスタx4が、テンポラリ領域として利用するレジスタに相当する。
この非線形変換処理(SboxLayer)の結果は、4本の128ビットレジスタ、例えばレジスタr0~r4に格納する。
ステップS404の処理は、ステップS403の非線形変換結果に対する線型変換処理(pLayer)である。
図61に示すフローチャートの各ステップの処理について、順次、説明する。
なお、型変換処理(pLayer)処理対象となるデータは、ステップS403の非線形変換結果であり、このステップS403の非線形変換結果が図62に示すように、4本の128ビットレジスタr0~r3に格納されている。
図63に示すように、レジスタr0,r1,r2,r3に対して,シャッフル命令を実行し,結果をr0,r1,r2,r3に格納する。
ただし、i={0,1,2,3}
としたとき、各レジスタのシャッフルは以下の設定とする。
i={0,1,2,3}.
([i,0],[i,1],[i,2],[i,3],[i,4],[i,5],[i,6],[i,7],[i,8],[i,9],[i,10],[i,11],[i,12],[i,13],[i,14],[i,15])→([i,0],[i,4],[i,8],[i,12],[i,1],[i,5],[i,9],[i,13],[i,2],[i,6],[i,10],[i,14],[i,3],[i,7],[i,11],[i,15])
図64に示すように、レジスタr0,r2をレジスタr4,r5にコピーする。
図65に示すように、レジスタr0,r1とレジスタr2,r3の左64ビットに対して,ダブルワード単位でアンパック命令を実行する。
図65に示すように、レジスタr0とレジスタr2の左8ブロック(64ビット)をダブルワード(32ビット(4ブロック))単位で、レジスタr0に左から交互に格納するアンパック処理を実行する。
同様に、レジスタr2とレジスタr3の左8ブロック(64ビット)をダブルワード(32ビット(4ブロック))単位で、レジスタr2に左から交互に格納するアンパック処理を実行する。
図66に示すように、レジスタr4,r1とレジスタr5,r3の右64ビットに対して,ダブルワード単位でアンパック命令を実行する。
図66に示すように、レジスタr4とレジスタr1の右8ブロック(64ビット)をダブルワード(32ビット(4ブロック))単位で、レジスタr4に左から交互に格納するアンパック処理を実行する。
同様に、レジスタ5とレジスタr3の右8ブロック(64ビット)をダブルワード(32ビット(4ブロック))単位で、レジスタr5に左から交互に格納するアンパック処理を実行する。
図67に示すように、レジスタr0,r4をレジスタr1,r3にコピーする。
図68に示すように、レジスタr0,r2とレジスタr4,r5の左64ビットに対して,クワッドワード単位でアンパック命令を実行する。
図68に示すように、レジスタr0とレジスタr2の左8ブロック(64ビット)をクワッドワード(64ビット(8ブロック))単位で、レジスタr0に左から交互に格納するアンパック処理を実行する。
同様に、レジスタr4とレジスタr5の左8ブロック(64ビット)をクワッドワード(64ビット(8ブロック))単位で、レジスタr4に左から交互に格納するアンパック処理を実行する。
図69に示すように、レジスタr1,r2とレジスタr3,r5の右64ビットに対して,クワッドワード単位でアンパック命令を実行する。
図69に示すように、レジスタr1とレジスタr2の右8ブロック(64ビット)をクワッドワード(64ビット(8ブロック))単位で、レジスタr1に左から交互に格納するアンパック処理を実行する。
同様に、レジスタr3とレジスタr5の右8ブロック(64ビット)をクワッドワード(64ビット(8ブロック))単位で、レジスタr3に左から交互に格納するアンパック処理を実行する。
図70に図57のフローのステップS404の線形変換処理の入力と出力との対応関係を示す。
このラウンド演算処理における各処理の命令数は、以下の通りとなる。
(a)ラウンド鍵加算(addRoundKey):4
(b)非線形変換(SboxLayer):20
(c)線形変換(pLayer):16
この処理により、出力データ90として、平文データ82に対応する暗号化データ91が生成される。
これに対して、先に説明した[6.鍵スケジュール処理について(鍵スケジュール処理例2)]において説明した構成によれば、80ビット鍵を入力して処理を行う鍵スケジュール部は、2回の非線型変換処理によって32ラウンド分のラウンド鍵を生成することが可能であり、少ない命令数でのラウンド鍵生成が可能であり、高速処理が実現される。
最後に、上述した実施例に従った暗号処理を実行する情報処理装置や暗号処理装置の装置構成例について説明する。情報処理装置には、例えば、図1~図5を参照して説明したサーバなども含まれる。
上述した実施例に従った暗号処理は、暗号処理アルゴリズムを規定したソフトウェア(プログラム)を実行するCPU等から構成されるデータ処理部、プログラムや、データを格納するメモリを有する例えばPCやサーバ等の機器において実行可能である。
CPU(Central Processing Unit)701は、ROM(Read Only Memory)702、または記憶部708に記憶されているプログラムに従って各種の処理を実行するデータ処理部として機能する。例えば、上述したシーケンスに従った処理を実行する。
これらのCPU701、ROM702、およびRAM703は、バス704により相互に接続されている。
例えば図1~図5を参照して説明したサーバである場合、通信部709は、多数のユーザ端末やセンサ等からの暗号化データの受信処理、あるいは多数のユーザ端末やセンサ等に対する暗号化データの送信処理を実行する。
以上、特定の実施例を参照しながら、本開示の実施例について詳解してきた。しかしながら、本開示の要旨を逸脱しない範囲で当業者が実施例の修正や代用を成し得ることは自明である。すなわち、例示という形態で本発明を開示してきたのであり、限定的に解釈されるべきではない。本開示の要旨を判断するためには、特許請求の範囲の欄を参酌すべきである。
具体的には、多数のユーザ端末やセンサが個別の暗号鍵で軽量暗号アルゴリズムにより暗号化したデータを送信し、サーバがこれらの暗号化データを受信し、復号処理シーケンスを規定したプログラムに従ってデータ処理を実行する。復号対象となる複数の暗号化データに対するビットスライス処理によりビットスライス表現データを生成し、暗号化データ各々の暗号鍵に基づくビットトスライス表現鍵を生成し、ビットスライス表現鍵に基づいてラウンド鍵を生成し、ビットスライス表現データのブロック単位の演算、移動処理、ラウンド鍵を適用した演算等を含む復号処理を実行し、復号処理結果に対するデータの逆変換により、多数の暗号化データに対応する多数の平文データを生成することが可能となる。
さらに、軽量暗号にとってこれまで困難であったクラウドでの活用が可能になることで、センサでの軽量暗号実装が促進され、低コスト・低消費電力のセンサネットワークが実現できる。
(1) 複数のデータ送信装置の送信する暗号化データを受信する通信部と、
前記通信部を介して受信した複数の暗号化データの復号処理を実行するデータ処理部を有し、
前記データ処理部は、復号処理シーケンスを規定したプログラムに従ってデータ処理を実行する構成であり、
前記データ処理部は、前記プログラムに従って、
復号処理対象となる複数の暗号化データに対するビットスライス処理によりビットスライス表現データを生成するデータ変換処理と、
前記複数の暗号化データ各々の暗号鍵に対するビットスライス処理によりビットスライス表現鍵を生成する鍵変換処理と、
前記ビットスライス表現鍵を入力して、復号処理における各ラウンド用のラウンド鍵を生成する鍵スケジュール処理と、
前記ビットスライス表現データに対して前記ラウンド鍵を適用した復号処理と、
前記復号処理の結果に対する前記ビットスライス処理の逆変換により、前記複数の暗号化データに対応する複数の平文データを生成するデータ逆変換処理を、
実行する情報処理装置。
(3)前記データ処理部は、前記復号処理において、前記ビットスライス表現データを構成する各暗号化データの同一ビット目またはnビットおきのビット、ただしnは2のべき数、
によって構成されるビットスライス表現データブロック単位の演算処理と移動処理を適用した復号処理を実行する前記(1)または(2)に記載の情報処理装置。
前記複数の送信端末の送信する複数の暗号化データを受信するサーバを有し、
前記サーバは、
復号処理シーケンスを規定したプログラムに従ってデータ処理を実行するデータ処理部を有し、
前記データ処理部は、前記プログラムに従って、
復号処理対象となる複数の暗号化データに対するビットスライス処理によりビットスライス表現データを生成するデータ変換処理と、
前記複数の暗号化データ各々の暗号鍵に対するビットスライス処理によりビットスライス表現鍵を生成する鍵変換処理と、
前記ビットスライス表現鍵を入力して、復号処理における各ラウンド用のラウンド鍵を生成する鍵スケジュール処理と、
前記ビットスライス表現データに対して前記ラウンド鍵を適用した復号処理と、
前記復号処理の結果に対する前記ビットスライス処理の逆変換により、前記複数の暗号化データに対応する複数の平文データを生成するデータ逆変換処理を、
実行する情報処理システム。
(7)前記サーバのデータ処理部は、前記復号処理において、前記ビットスライス表現データを構成する各暗号化データの同一ビット目またはnビットおきのビット、ただしnは2のべき数、によって構成されるビットスライス表現データブロック単位の演算処理と移動処理を適用した復号処理を実行する前記(5)または(6)に記載の情報処理システム。
(8)前記データ処理部は、前記鍵スケジュール処理において、前記ビットスライス表現鍵を構成する各暗号鍵の同一ビット目またはnビットおきのビット、ただしnは2のべき数、によって構成されるビットスライス表現鍵ブロック単位の演算処理と移動処理を適用して前記ラウンド鍵を生成する前記(5)~(7)いずれかに記載の情報処理システム。
前記通信部を介して送信する複数の暗号化データの生成処理を実行するデータ処理部を有し、
前記データ処理部は、暗号処理シーケンスを規定したプログラムに従ってデータ処理を実行する構成であり、
前記データ処理部は、前記プログラムに従って、
暗号化処理対象となる複数の平文データに対するビットスライス処理によりビットスライス表現データを生成するデータ変換処理と、
前記複数の平文データ各々の暗号鍵に対するビットスライス処理によりビットスライス表現鍵を生成する鍵変換処理と、
前記ビットスライス表現鍵を入力して、暗号化処理における各ラウンド用のラウンド鍵を生成する鍵スケジュール処理と、
前記ビットスライス表現データに対して前記ラウンド鍵を適用した暗号処理と、
前記暗号処理の結果に対する前記ビットスライス処理の逆変換により、前記複数の平文データに対応する複数の暗号化データを生成するデータ逆変換処理を、
実行する情報処理装置。
前記鍵変換処理において、前記暗号鍵に対するビットスライス処理によりビットスライス表現鍵を生成する前記(9)に記載の情報処理装置。
(11)前記データ処理部は、前記暗号処理において、前記ビットスライス表現データを構成する各平文データの同一ビット目またはnビットおきのビット、ただしnは2のべき数、によって構成されるビットスライス表現データブロック単位の演算処理と移動処理を適用した暗号化処理を実行する前記(9)または(10)に記載の情報処理装置。
(12)前記データ処理部は、前記鍵スケジュール処理において、前記ビットスライス表現鍵を構成する各暗号鍵の同一ビット目またはnビットおきのビット、ただしnは2のべき数、によって構成されるビットスライス表現鍵ブロック単位の演算処理と移動処理を適用して前記ラウンド鍵を生成する前記(9)~(11)いずれかに記載の情報処理装置。
前記サーバの送信する暗号化データを受信する複数の受信端末を有し、
前記サーバは、
暗号処理シーケンスを規定したプログラムに従ってデータ処理を実行するデータ処理部を有し、
前記データ処理部は、前記プログラムに従って、
暗号処理対象となる複数の平文データに対するビットスライス処理によりビットスライス表現データを生成するデータ変換処理と、
前記複数の平文データ各々の暗号鍵に対するビットスライス処理によりビットスライス表現鍵を生成する鍵変換処理と、
前記ビットスライス表現鍵を入力して、暗号処理における各ラウンド用のラウンド鍵を生成する鍵スケジュール処理と、
前記ビットスライス表現データに対して前記ラウンド鍵を適用した暗号処理と、
前記暗号処理の結果に対する前記ビットスライス処理の逆変換により、前記複数の平文データに対応する複数の暗号化データを生成するデータ逆変換処理を、
実行する情報処理システム。
20 センサネットワーク
30 サーバ
31 暗号鍵
32 センサID
33 暗号化データ
70 平文データ
80 入力データ
81 暗号鍵
82 平文データ
90 出力データ
91 暗号化データ
100 情報処理装置
110 暗号処理部
701 CPU
702 ROM
703 RAM
704 バス
705 入出力インタフェース
706 入力部
707 出力部
708 記憶部
709 通信部
710 ドライブ
711 リムーバブルメディア
Claims (20)
- データ送信装置の送信する暗号化データを受信する通信部と、
前記通信部を介して受信した暗号化データの復号処理を実行するデータ処理部を有し、
前記データ処理部は、復号処理シーケンスを規定したプログラムに従ってデータ処理を実行する構成であり、
前記データ処理部は、前記プログラムに従って、
復号処理対象となる暗号化データに対するビットスライス処理によりビットスライス表現データを生成するデータ変換処理と、
前記暗号化データ各々の暗号鍵に対するビットスライス処理によりビットスライス表現鍵を生成する鍵変換処理と、
前記ビットスライス表現鍵を入力して、復号処理における各ラウンド用のラウンド鍵を生成する鍵スケジュール処理と、
前記ビットスライス表現データに対して前記ラウンド鍵を適用した復号処理と、
前記復号処理の結果に対する前記ビットスライス処理の逆変換により、前記暗号化データに対応する平文データを生成するデータ逆変換処理を、
実行する情報処理装置。 - 前記通信部は、暗号化データとともに該暗号化データの送信機器の機器IDを受信し、
前記データ処理部は、
前記機器IDに基づいて、各暗号化データに対応する暗号鍵を記憶部から選択取得、または前記機器IDに基づいて、各暗号化データに対応する暗号鍵を所定の演算で導出し、
前記鍵変換処理において、前記暗号鍵に対するビットスライス処理によりビットスライス表現鍵を生成する請求項1に記載の情報処理装置。 - 前記データ処理部は、
前記復号処理において、前記ビットスライス表現データを構成する各暗号化データの同一ビット目またはnビットおきのビット、ただしnは2のべき数、
によって構成されるビットスライス表現データブロック単位の演算処理と移動処理を適用した復号処理を実行する請求項1に記載の情報処理装置。 - 前記データ処理部は、
前記鍵スケジュール処理において、前記ビットスライス表現鍵を構成する各暗号鍵の同一ビット目またはnビットおきのビット、ただしnは2のべき数、
によって構成されるビットスライス表現鍵ブロック単位の演算処理と移動処理を適用して前記ラウンド鍵を生成する請求項1に記載の情報処理装置。 - 暗号化データを生成して送信する送信端末と、
前記送信端末の送信する暗号化データを受信するサーバを有し、
前記サーバは、
復号処理シーケンスを規定したプログラムに従ってデータ処理を実行するデータ処理部を有し、
前記データ処理部は、前記プログラムに従って、
復号処理対象となる暗号化データに対するビットスライス処理によりビットスライス表現データを生成するデータ変換処理と、
前記暗号化データ各々の暗号鍵に対するビットスライス処理によりビットスライス表現鍵を生成する鍵変換処理と、
前記ビットスライス表現鍵を入力して、復号処理における各ラウンド用のラウンド鍵を生成する鍵スケジュール処理と、
前記ビットスライス表現データに対して前記ラウンド鍵を適用した復号処理と、
前記復号処理の結果に対する前記ビットスライス処理の逆変換により、前記暗号化データに対応する平文データを生成するデータ逆変換処理を、
実行する情報処理システム。 - 前記送信端末は、暗号化データとともに該暗号化データの送信機器の機器IDを送信し、
前記サーバのデータ処理部は、
前記機器IDに基づいて、各暗号化データに対応する暗号鍵を記憶部から選択取得、または前記機器IDに基づいて、各暗号化データに対応する暗号鍵を所定の演算で導出し、
前記鍵変換処理において、前記暗号鍵に対するビットスライス処理によりビットスライス表現鍵を生成する請求項5に記載の情報処理システム。 - 前記サーバのデータ処理部は、
前記復号処理において、前記ビットスライス表現データを構成する各暗号化データの同一ビット目またはnビットおきのビット、ただしnは2のべき数、
によって構成されるビットスライス表現データブロック単位の演算処理と移動処理を適用した復号処理を実行する請求項5に記載の情報処理システム。 - 前記サーバのデータ処理部は、
前記鍵スケジュール処理において、前記ビットスライス表現鍵を構成する各暗号鍵の同一ビット目またはnビットおきのビット、ただしnは2のべき数、
によって構成されるビットスライス表現鍵ブロック単位の演算処理と移動処理を適用して前記ラウンド鍵を生成する請求項5に記載の情報処理システム。 - データ受信装置に対して暗号化データを送信する通信部と、
前記通信部を介して送信する暗号化データの生成処理を実行するデータ処理部を有し、
前記データ処理部は、暗号処理シーケンスを規定したプログラムに従ってデータ処理を実行する構成であり、
前記データ処理部は、前記プログラムに従って、
暗号化処理対象となる平文データに対するビットスライス処理によりビットスライス表現データを生成するデータ変換処理と、
前記平文データ各々の暗号鍵に対するビットスライス処理によりビットスライス表現鍵を生成する鍵変換処理と、
前記ビットスライス表現鍵を入力して、暗号化処理における各ラウンド用のラウンド鍵を生成する鍵スケジュール処理と、
前記ビットスライス表現データに対して前記ラウンド鍵を適用した暗号処理と、
前記暗号処理の結果に対する前記ビットスライス処理の逆変換により、前記平文データに対応する暗号化データを生成するデータ逆変換処理を、
実行する情報処理装置。 - 前記データ処理部は、
暗号化データを送信する送信先の機器IDに基づいて各平文データに対応する暗号鍵を記憶部から選択取得、または前記機器IDに基づいて、各暗号化データに対応する暗号鍵を所定の演算で導出し、
前記鍵変換処理において、前記暗号鍵に対するビットスライス処理によりビットスライス表現鍵を生成する請求項9に記載の情報処理装置。 - 前記データ処理部は、
前記暗号処理において、前記ビットスライス表現データを構成する各平文データの同一ビット目またはnビットおきのビット、ただしnは2のべき数、
によって構成されるビットスライス表現データブロック単位の演算処理と移動処理を適用した暗号化処理を実行する請求項9に記載の情報処理装置。 - 前記データ処理部は、
前記鍵スケジュール処理において、前記ビットスライス表現鍵を構成する各暗号鍵の同一ビット目またはnビットおきのビット、ただしnは2のべき数、
によって構成されるビットスライス表現鍵ブロック単位の演算処理と移動処理を適用して前記ラウンド鍵を生成する請求項9に記載の情報処理装置。 - 暗号化データを生成して送信するサーバと、
前記サーバの送信する暗号化データを受信する受信端末を有し、
前記サーバは、
暗号処理シーケンスを規定したプログラムに従ってデータ処理を実行するデータ処理部を有し、
前記データ処理部は、前記プログラムに従って、
暗号処理対象となる平文データに対するビットスライス処理によりビットスライス表現データを生成するデータ変換処理と、
前記平文データ各々の暗号鍵に対するビットスライス処理によりビットスライス表現鍵を生成する鍵変換処理と、
前記ビットスライス表現鍵を入力して、暗号処理における各ラウンド用のラウンド鍵を生成する鍵スケジュール処理と、
前記ビットスライス表現データに対して前記ラウンド鍵を適用した暗号処理と、
前記暗号処理の結果に対する前記ビットスライス処理の逆変換により、前記平文データに対応する暗号化データを生成するデータ逆変換処理を、
実行する情報処理システム。 - 前記サーバのデータ処理部は、
前記受信端末各々の機器IDに基づいて、各平文データに対応する暗号鍵を記憶部から選択取得、または前記機器IDに基づいて、各平文データに対応する暗号鍵を所定の演算で導出し、
前記鍵変換処理において、前記暗号鍵に対するビットスライス処理によりビットスライス表現鍵を生成する請求項13に記載の情報処理システム。 - 前記サーバのデータ処理部は、
前記暗号化処理において、前記ビットスライス表現データを構成する各平文データの同一ビット目またはnビットおきのビット、ただしnは2のべき数、
によって構成されるビットスライス表現データブロック単位の演算処理と移動処理を適用した暗号化処理を実行する請求項13に記載の情報処理システム。 - 前記サーバの前記データ処理部は、
前記鍵スケジュール処理において、前記ビットスライス表現鍵を構成する各暗号鍵の同一ビット目またはnビットおきのビット、ただしnは2のべき数、
によって構成されるビットスライス表現鍵ブロック単位の演算処理と移動処理を適用して前記ラウンド鍵を生成する請求項13に記載の情報処理システム。 - 情報処理装置において実行する情報処理方法であり、
通信部が、データ送信装置の送信する暗号化データを受信する通信ステップと、
データ処理部が、前記通信部を介して受信した暗号化データの復号処理を実行するデータ処理ステップを実行し、
前記データ処理ステップは、復号処理シーケンスを規定したプログラムに従って、
復号処理対象となる暗号化データに対するビットスライス処理によりビットスライス表現データを生成するデータ変換処理と、
前記暗号化データ各々の暗号鍵に対するビットスライス処理によりビットスライス表現鍵を生成する鍵変換処理と、
前記ビットスライス表現鍵を入力して、復号処理における各ラウンド用のラウンド鍵を生成する鍵スケジュール処理と、
前記ビットスライス表現データに対して前記ラウンド鍵を適用した復号処理と、
前記復号処理の結果に対する前記ビットスライス処理の逆変換により、前記暗号化データに対応する平文データを生成するデータ逆変換処理を、
実行する情報処理方法。 - 情報処理装置において実行する情報処理方法であり、
データ処理部が、暗号化データの生成処理を実行するデータ処理ステップと、
通信部が、前記データ処理部の生成した暗号化データの各々をデータ送信装置各々に送信する通信ステップを実行し、
前記データ処理ステップは、暗号処理シーケンスを規定したプログラムに従って、
暗号化処理対象となる平文データに対するビットスライス処理によりビットスライス表現データを生成するデータ変換処理と、
前記平文データ各々の暗号鍵に対するビットスライス処理によりビットスライス表現鍵を生成する鍵変換処理と、
前記ビットスライス表現鍵を入力して、暗号化処理における各ラウンド用のラウンド鍵を生成する鍵スケジュール処理と、
前記ビットスライス表現データに対して前記ラウンド鍵を適用した暗号処理と、
前記暗号処理の結果に対する前記ビットスライス処理の逆変換により、前記平文データに対応する暗号化データを生成するデータ逆変換処理を、
実行する情報処理方法。 - 情報処理装置において情報処理を実行させるプログラムであり、
データ処理部に、送信機が個別の暗号鍵で生成した暗号化データを入力させ、
前記データ処理に、
復号処理対象となる暗号化データに対するビットスライス処理によりビットスライス表現データを生成するデータ変換処理と、
前記暗号化データ各々の暗号鍵に対するビットスライス処理によりビットスライス表現鍵を生成する鍵変換処理と、
前記ビットスライス表現鍵を入力して、復号処理における各ラウンド用のラウンド鍵を生成する鍵スケジュール処理と、
前記ビットスライス表現データに対して前記ラウンド鍵を適用した復号処理と、
前記復号処理の結果に対する前記ビットスライス処理の逆変換により、前記暗号化データに対応する平文データを生成するデータ逆変換処理を、
実行させるプログラム。 - 情報処理装置において情報処理を実行させるプログラムであり、
データ処理部に、暗号化データの生成処理を実行させるデータ処理ステップと、
通信部が、前記データ処理部の生成した暗号化データの各々をデータ送信装置各々に送信させる通信ステップを実行させ、
前記データ処理ステップにおいては、
暗号化処理対象となる平文データに対するビットスライス処理によりビットスライス表現データを生成するデータ変換処理と、
前記平文データ各々の暗号鍵に対するビットスライス処理によりビットスライス表現鍵を生成する鍵変換処理と、
前記ビットスライス表現鍵を入力して、暗号化処理における各ラウンド用のラウンド鍵を生成する鍵スケジュール処理と、
前記ビットスライス表現データに対して前記ラウンド鍵を適用した暗号処理と、
前記暗号処理の結果に対する前記ビットスライス処理の逆変換により、前記平文データに対応する暗号化データを生成するデータ逆変換処理を、
実行させるプログラム。
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/373,562 US9537651B2 (en) | 2012-03-02 | 2013-02-07 | Information processing apparatus, information processing method, and program |
CN201380010947.4A CN104137467A (zh) | 2012-03-02 | 2013-02-07 | 信息处理装置、信息处理方法和程序 |
JP2014502099A JP5835458B2 (ja) | 2012-03-02 | 2013-02-07 | 情報処理装置、および情報処理方法、並びにプログラム |
EP13754962.2A EP2822214A4 (en) | 2012-03-02 | 2013-02-07 | INFORMATION PROCESSING DEVICE AND METHOD, AND PROGRAM |
RU2014134853A RU2014134853A (ru) | 2012-03-02 | 2013-02-07 | Устройство, способ обработки информации и программа |
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012046310 | 2012-03-02 | ||
JP2012-046310 | 2012-03-02 |
Publications (1)
Publication Number | Publication Date |
---|---|
WO2013129056A1 true WO2013129056A1 (ja) | 2013-09-06 |
Family
ID=49082259
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
PCT/JP2013/052819 WO2013129056A1 (ja) | 2012-03-02 | 2013-02-07 | 情報処理装置、および情報処理方法、並びにプログラム |
Country Status (6)
Country | Link |
---|---|
US (1) | US9537651B2 (ja) |
EP (1) | EP2822214A4 (ja) |
JP (1) | JP5835458B2 (ja) |
CN (1) | CN104137467A (ja) |
RU (1) | RU2014134853A (ja) |
WO (1) | WO2013129056A1 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019533356A (ja) * | 2016-09-23 | 2019-11-14 | ベクトン・ディキンソン・アンド・カンパニーBecton, Dickinson And Company | 医療装置のための暗号化システム |
US11838402B2 (en) | 2019-03-13 | 2023-12-05 | The Research Foundation For The State University Of New York | Ultra low power core for lightweight encryption |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101807441B1 (ko) * | 2013-12-04 | 2017-12-08 | 엠파이어 테크놀로지 디벨롭먼트 엘엘씨 | 가상 머신들 간의 사이드 채널 공격들의 검출 |
US9473296B2 (en) * | 2014-03-27 | 2016-10-18 | Intel Corporation | Instruction and logic for a simon block cipher |
US20160226585A1 (en) * | 2015-02-02 | 2016-08-04 | Blackberry Limited | Computing devices and methods for data transmission |
US9773432B2 (en) | 2015-06-27 | 2017-09-26 | Intel Corporation | Lightweight cryptographic engine |
CN107425963B (zh) * | 2017-05-09 | 2024-08-20 | 谢新勇 | 一种密码墙的构建方法及系统 |
US10902142B2 (en) * | 2017-10-09 | 2021-01-26 | Ceruleant Systems, Llc | Methods and systems for encrypting data using object-based screens |
US10505715B2 (en) * | 2017-11-17 | 2019-12-10 | Marpex, Inc. | Method and system of synchronous encryption to render computer files and messages impervious to pattern recognition and brute force attacks |
DE102018205125A1 (de) * | 2018-04-05 | 2019-10-10 | Robert Bosch Gmbh | Radarsensorkopf für ein Radarsystem |
EP3618385B1 (en) * | 2018-08-31 | 2020-06-24 | Zenuity AB | Method and arrangement for encoding/decoding a signal at a first and second communication node in a road vehicle |
US10637837B1 (en) | 2019-11-27 | 2020-04-28 | Marpex, Inc. | Method and system to secure human and also internet of things communications through automation of symmetric encryption key management |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003216025A (ja) * | 2002-01-25 | 2003-07-30 | Mitsubishi Electric Corp | 非線形変換装置及び非線形変換方法及び非線形変換プログラム及び加算方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003216448A (ja) * | 2002-01-17 | 2003-07-31 | Ntt Docomo Inc | 移動通信端末及びデータ送信方法 |
KR100547855B1 (ko) * | 2003-01-14 | 2006-01-31 | 삼성전자주식회사 | 근거리 통신 장치를 구비한 복합 이동 통신 단말의 보안통신 시스템 및 방법 |
-
2013
- 2013-02-07 EP EP13754962.2A patent/EP2822214A4/en not_active Withdrawn
- 2013-02-07 US US14/373,562 patent/US9537651B2/en active Active
- 2013-02-07 WO PCT/JP2013/052819 patent/WO2013129056A1/ja active Application Filing
- 2013-02-07 JP JP2014502099A patent/JP5835458B2/ja not_active Expired - Fee Related
- 2013-02-07 RU RU2014134853A patent/RU2014134853A/ru not_active Application Discontinuation
- 2013-02-07 CN CN201380010947.4A patent/CN104137467A/zh active Pending
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003216025A (ja) * | 2002-01-25 | 2003-07-30 | Mitsubishi Electric Corp | 非線形変換装置及び非線形変換方法及び非線形変換プログラム及び加算方法 |
Non-Patent Citations (6)
Title |
---|
ELI BIHAM: "A Fast New DES Implementation in Software", FSE'97, 1997 |
KASPER, E. ET AL.: "Faster and Timing- Attack Resistant AES-GCM", LECTURE NOTES IN COMPUTER SCIENCE, vol. 5747, 2009, pages 1 - 17, XP047029950 * |
KONIGHOFER, R.: "A Fast and Cache-Timing Resistant Implementation of the AES", LECTURE NOTES IN COMPUTER SCIENCE, V, vol. 4964, 2008, pages 187 - 202, XP019101756 * |
REBEIRO, C. ET AL.: "Bitslice Implementation of AES", LECTURE NOTES IN COMPUTER SCIENCE, vol. 4301, 2006, pages 203 - 212, XP019051490 * |
See also references of EP2822214A4 |
THOMAS RISTENPART; ERAN TROMER; HOVAV SHACHAM; STEFAN SAVAGE: "Hey, You, Get Off of My Cloud: Exploring Information Leakage in Third-Party Compute Clouds", ACM CCS'09, 9 November 2009 (2009-11-09) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2019533356A (ja) * | 2016-09-23 | 2019-11-14 | ベクトン・ディキンソン・アンド・カンパニーBecton, Dickinson And Company | 医療装置のための暗号化システム |
US11522692B2 (en) | 2016-09-23 | 2022-12-06 | Becton, Dickinson And Company | Encryption system for medical devices |
US11968299B2 (en) | 2016-09-23 | 2024-04-23 | Becton, Dickinson And Company | Encryption system for medical devices |
JP7474051B2 (ja) | 2016-09-23 | 2024-04-24 | ベクトン・ディキンソン・アンド・カンパニー | 医療装置のための暗号化システム |
US11838402B2 (en) | 2019-03-13 | 2023-12-05 | The Research Foundation For The State University Of New York | Ultra low power core for lightweight encryption |
Also Published As
Publication number | Publication date |
---|---|
EP2822214A4 (en) | 2015-09-30 |
EP2822214A1 (en) | 2015-01-07 |
CN104137467A (zh) | 2014-11-05 |
JPWO2013129056A1 (ja) | 2015-07-30 |
JP5835458B2 (ja) | 2015-12-24 |
US20140380037A1 (en) | 2014-12-25 |
US9537651B2 (en) | 2017-01-03 |
RU2014134853A (ru) | 2016-03-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5835458B2 (ja) | 情報処理装置、および情報処理方法、並びにプログラム | |
WO2013129055A1 (ja) | 情報処理装置、および情報処理方法、並びにプログラム | |
WO2013129054A1 (ja) | 情報処理装置、および情報処理方法、並びにプログラム | |
CN101622816B (zh) | 用于高级加密标准(aes)的灵活结构和指令 | |
Li et al. | Improved single-key attacks on 9-round AES-192/256 | |
US9031234B2 (en) | Encryption device and decryption device | |
CN109245881A (zh) | 一种照片视频云端加密存储方法 | |
Muir | A tutorial on white-box AES | |
Biryukov et al. | Cryptanalysis of Feistel networks with secret round functions | |
Panda | Data security in wireless sensor networks via AES algorithm | |
Sohel Rana et al. | A survey paper of lightweight block ciphers based on their different design architectures and performance metrics | |
JP2013182148A (ja) | 情報処理装置、および情報処理方法、並びにプログラム | |
JP5680016B2 (ja) | 復号処理装置、情報処理装置、および復号処理方法、並びにコンピュータ・プログラム | |
Buell | Modern symmetric ciphers—Des and Aes | |
JP6203387B2 (ja) | 暗号装置及び記憶システム及び復号装置及び暗号方法及び復号方法及び暗号プログラム及び復号プログラム | |
JP2013098722A (ja) | ストリーム暗号の暗号化装置、ストリーム暗号の復号装置、ストリーム暗号の暗号化方法、ストリーム暗号の復号方法、およびプログラム | |
Parikibandla et al. | FPGA performance evaluation of present cipher using LCC key generation for IoT sensor nodes | |
Sawant et al. | Advanced Encryption Standard Block Cipher Algorithm | |
JP6251151B2 (ja) | ラウンド関数計算装置及び暗号装置、これらの方法並びにプログラム | |
Maity et al. | Improving security of SPN-type block cipher against fault attack | |
JP5665588B2 (ja) | アルゴリズム可変型暗号装置、アルゴリズム可変型復号装置、アルゴリズム可変型暗号方法、アルゴリズム可変型復号方法およびプログラム | |
REKHA et al. | Design and Implementation of Low Power, Light Weight Cryptographic Core using Hummingbird2 Algorithm | |
JP2014041389A (ja) | データ変換装置、およびデータ変換方法、並びにコンピュータ・プログラム | |
Abraham | FPGA implementation of SubBytes & inverse SubBytes for AES algorithm | |
ALI et al. | AES, DES, Triple DES Encryption Efficiency Analysis |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 13754962 Country of ref document: EP Kind code of ref document: A1 |
|
ENP | Entry into the national phase |
Ref document number: 2014502099 Country of ref document: JP Kind code of ref document: A |
|
WWE | Wipo information: entry into national phase |
Ref document number: 14373562 Country of ref document: US |
|
WWE | Wipo information: entry into national phase |
Ref document number: 2013754962 Country of ref document: EP |
|
ENP | Entry into the national phase |
Ref document number: 2014134853 Country of ref document: RU Kind code of ref document: A |
|
NENP | Non-entry into the national phase |
Ref country code: DE |
|
REG | Reference to national code |
Ref country code: BR Ref legal event code: B01A Ref document number: 112014020907 Country of ref document: BR |
|
ENP | Entry into the national phase |
Ref document number: 112014020907 Country of ref document: BR Kind code of ref document: A2 Effective date: 20140825 |