WO2021044465A1

WO2021044465A1 - 暗号化装置、復号装置、コンピュータプログラム、暗号化方法、復号方法及びデータ構造

Info

Publication number: WO2021044465A1
Application number: PCT/JP2019/034365
Authority: WO
Inventors: 矢野　義博; 真人浦崎
Original assignee: 株式会社Ｄｎｐハイパーテック
Priority date: 2019-09-02
Filing date: 2019-09-02
Publication date: 2021-03-11
Also published as: JPWO2021044465A1

Abstract

暗号化装置は、対象データをブロック暗号により暗号化する暗号化装置であって、前記対象データの平文ブロックの整数倍を暗号化し、暗号化しない対象データは平文のまま残す暗号化部と、前記暗号化部で暗号化しない非暗号化データの全部又は一部の情報、もしくはこの情報に位置パラメータを加えた情報を用いて、ブロック暗号のアルゴリズムが暗号化の際に必要とする暗号文生成のための秘匿すべき変数を生成する変数生成部とを備える。

Description

暗号化装置、復号装置、コンピュータプログラム、暗号化方法、復号方法及びデータ構造

　本開示は、暗号化装置、復号装置、コンピュータプログラム、暗号化方法、復号方法及びデータ構造に関する。

　暗号アルゴリズムには、主にブロック暗号とストリーム暗号がある。ストリーム暗号はデータの流れを順次処理する。ブロック暗号は対象データ（対象ファイルなどを）を特定のブロック長で区切ったブロック毎に処理する。ブロック暗号は対象データ全体を暗号化するので、対象データ全体のサイズが、ブロック長の整数倍でない場合、パディングによってデータを埋める必要がある。また、ＣＢＣ（Cipher Block Chaining）モード、ＣＦＢ（Cipher Feed Back）モード、ＯＦＢ（Output Feed Back）モードなどの各モードでは、暗号化及び復号に初期化ベクトルが必要である。このため、従来のブロック暗号では、暗号鍵（共通鍵）及び初期化ベクトルを暗号化側と復号側とで秘匿する必要がある。

　特許文献１には、パディング処理が不要なＣＦＢモードやＯＦＢモードとともにＣＢＣモードを組み合わせた処理によって、暗号化に必要な初期化ベクトルを暗号化側で生成し、復号に必要な初期化ベクトルを復号側で生成する暗号化方法及び復号方法が開示されている。

特開２００９－１７５５４４号公報

　特許文献１の方法にあっては、暗号化側と復号側との間で初期化ベクトルのやり取りは不要である。しかし、暗号化側と復号側との間で暗号鍵のやり取りは必要であるため、攻撃者に暗号鍵が不正に取得され対象データが漏洩するという脆弱性がある。また、特許文献１の方法にあっては、複数のモードを組み合わせているので、暗号化及び復号のアルゴリズムが複雑になりプログラムのサイズが大きくなり、処理労力が増大する。

　本開示は、斯かる事情に鑑みてなされたものであり、暗号化の対象データ毎に、暗号鍵と初期化ベクトルを生成させることによりセキュリティを向上できる暗号化装置、復号装置、コンピュータプログラム、暗号化方法、復号方法及びデータ構造を明らかにする。

　本願は上記課題を解決する手段を複数含んでいるが、その一例を挙げるならば、暗号化装置は、対象データから、暗号鍵と初期化ベクトルをセキュアに自動生成させ、対象データの平文ブロックの整数倍を暗号化し、暗号化しない対象データを平文のまま残し、対象データと同じサイズの暗号化データを生成する暗号化部を備える。

　本開示によれば、暗号化の対象データに対するセキュリティを向上させるのみでなく、攻撃者（「クラッカー」ともいう））が、暗号鍵と初期化ベクトルを、アプリケーションの実行コードの中から探索し突き止めることを防ぐことができる。

本実施の形態の暗号化装置の構成の一例を示すブロック図である。本実施の形態の復号装置の構成の一例を示すブロック図である。本実施の形態の暗号化及び復号による平文と暗号文との関係の一例を示す模式図である。暗号化部の構成の一例を示す模式図である。復号部の構成の一例を示す模式図である。暗号鍵生成部及び初期化ベクトル生成部の構成の第１例を示す模式図である。暗号鍵生成部及び初期化ベクトル生成部の構成の第２例を示す模式図である。暗号ライブラリで暗号化部の機能を実現するための暗号化関数の一例を示す模式図である。暗号化対象のサイズがブロック長の整数倍に等しい場合の暗号化の一例を示す模式図である。暗号化対象のサイズがブロック長の整数倍に等しくない場合の暗号化の一例を示す模式図である。本実施の形態の暗号化処理を画像ファイルに適用した場合の一例を示す模式図である。暗号ライブラリを組み込んだアプリケーションのモジュールの一例を示す模式図である。本実施の形態の暗号化装置及び復号装置の他の構成の一例を示すブロック図である。暗号化装置による暗号化の処理手順の一例を示すフローチャートである。復号装置による複合の処理手順の一例を示すフローチャートである。

　以下、本開示の実施の形態を説明する。図１は本実施の形態の暗号化装置５０の構成の一例を示すブロック図である。暗号化装置５０は、装置全体を制御する制御部５１、データ取得部５２、暗号鍵生成部５３、初期化ベクトル生成部５４、記憶部５５、データ出力部５６、暗号化開始・終了位置算出部５７、及び暗号化部５８を備える。暗号化装置５０は、メッセージの送信者（暗号化側）と受信者（復号側）が、暗号化及び復号で使用する鍵を共有する共有鍵暗号を用いる。暗号アルゴリズムとしては、ＡＥＳ（Advanced Encryption Standard）を用いることができるが、これに限定されない。

　制御部５１は、ＣＰＵ、ＲＯＭ、ＲＡＭなどで構成することができる。データ取得部５２及びデータ出力部５６は、Ｉ／Ｏインタフェースに接続される入力デバイス（例えば、キーボード、マウス、タッチパネル、記録媒体読取デバイス、通信回路、ＡＰＩ（Application Programming Interface）など）や出力デバイス（例えば、表示パネル、記録媒体書込みデバイス、通信回路など）で構成することができる。記憶部５５は、ＨＤＤや半導体メモリで構成することができる。暗号鍵生成部５３、初期化ベクトル生成部５４、暗号化開始・終了位置算出部５７、及び暗号化部５８は、ユーザがコンピュータ上で使用するアプリケーションに組み込み可能な暗号ライブラリやプログラムで構成することができるが、これに限定されるものではなく、ＦＰＧＡ（Field-Programmable Gate Arrays）やＡＳＩＣ（application specific integrated circuit）などのハードウェアによって構成してもよい。

　データ取得部５２は、暗号化の対象となるデータである対象データを取得する。データ取得部５２で取得した対象データは、記憶部５５に記憶することができる。対象データは、例えば、フォーマットが公開されているファイル（例えば、画像データ、圧縮データなど）、通信プロトコル、特定のアプリケーションが生成する独自のファイル（例えば、ワード、パワーポイント、エクセルなどのファイル）を含む。本明細書では、対象データとして、フォーマットが公開されているファイルを例として説明する。

　暗号化部５８は、データ取得部５２で取得した対象データの平文ブロックの整数倍を暗号化し、暗号化しない対象データを平文のまま残し、対象データと同じサイズの暗号化データを生成することができる。暗号化部５８は、対象データの全部ではなく、対象データの一部（１又は複数の平文ブロックで構成される）を暗号化することができる。本実施の形態では、対象データのサイズと暗号化データのサイズは同じになる。暗号化の詳細は後述する。

　暗号鍵生成部５３は、対象データのうち暗号化部５８で暗号化しない非暗号化データ（暗号化の対象になっていないデータ又は部分）を用いて暗号鍵を生成することができる。暗号鍵は暗号化及び復号で使用する共通鍵である。暗号鍵生成の詳細は後述する。

　初期化ベクトル生成部５４は、対象データのうち暗号化部５８で暗号化しない非暗号化データを用いて、最初の平文ブロックを暗号化する際に使用する初期化ベクトルを生成することができる。なお、暗号鍵生成部５３が使用する非暗号化データは、初期化ベクトル生成部５４が使用する非暗号化データと異なるようにできる。初期化ベクトル生成の詳細は後述する。本開示では、暗号鍵生成部５３及び初期化ベクトル生成部５４を変数生成部とも称し、暗号鍵及び初期化ベクトルを変数とも称する。

　暗号化開始・終了位置算出部５７は、暗号化開始位置パラメータに基づいて暗号化開始位置を算出することができる。暗号化開始位置パラメータは、ユーザが指定でき、値は数値、もしくは％単位とすることができるが、これに限定されない。すなわち、暗号化開始位置パラメータは、実位置を示す数値、もしくは対象データのサイズから実位置が計算でき求めることができる％数値とすることができる。また、暗号化開始・終了位置算出部５７は、暗号化終了位置パラメータに基づいて暗号化終了位置を算出することができる。暗号化終了位置パラメータは、ユーザが指定でき、値は数値、もしくは％単位とすることができるが、これに限定されない。すなわち、暗号化終了位置パラメータは、実位置を示す数値、もしくは対象データのサイズから実位置が計算でき求めることができる％数値とすることができる。暗号化開始・終了位置算出部５７は、暗号化開始位置及び暗号化終了位置の少なくとも一方を算出できる。暗号化開始位置及び暗号化終了位置の詳細は後述する。

　データ出力部５６は、暗号化部５８で暗号化した対象データ、すなわち暗号化データを外部の装置などへ出力することができる。例えば、暗号化データは、インターネットなどの通信ネットワークを介して復号装置へ送信される。

　図２は本実施の形態の復号装置７０の構成の一例を示すブロック図である。復号装置７０は、装置全体を制御する制御部７１、データ取得部７２、暗号鍵生成部７３、初期化ベクトル生成部７４、記憶部７５、データ出力部７６、復号開始・終了位置算出部７７、及び復号部７８を備える。

　制御部７１は、ＣＰＵ、ＲＯＭ、ＲＡＭなどで構成することができる。データ取得部７２及びデータ出力部７６は、Ｉ／Ｏインタフェースに接続される入力デバイス（例えば、キーボード、マウス、タッチパネル、記録媒体読取デバイス、通信回路など）や出力デバイス（例えば、表示パネル、記録媒体読取デバイス、通信回路など）で構成することができる。記憶部７５は、ＨＤＤや半導体メモリで構成することができる。暗号鍵生成部７３、初期化ベクトル生成部７４、復号開始・終了位置算出部７７、及び復号部７８は、ユーザがコンピュータ上で使用するアプリケーションに組み込み可能な暗号ライブラリやプログラム（サブルーチン又はモジュールと称される）で構成することができるが、これに限定されるものではなく、ＦＰＧＡ（Field-Programmable Gate Arrays）やＡＳＩＣ（application specific integrated circuit）などのハードウェアによって構成してもよい。

　データ取得部７２は、暗号化する対象データおよび暗号化データを取得することができる。データ取得部７２で取得した対象データおよび暗号化データは、記憶部７５に記憶することができる。対象データは、例えば、フォーマットが公開されているファイル（例えば、画像データ、圧縮データなど）、通信プロトコル、特定のアプリケーションが生成する独自のファイル（例えば、ワード、パワーポイント、エクセルなどのファイル）のデータであるがこれに限定されない。暗号化データは、対象データが暗号化されたものであり、暗号化されていない非暗号化データと暗号化された暗号文ブロックとを含む。暗号化データは、例えば、フォーマットが公開されているファイル（例えば、画像データ、圧縮データなど）、通信プロトコル、特定のアプリケーションが生成する独自のファイル（例えば、ワード、パワーポイント、エクセルなどのファイル）の一部が暗号化されたデータである。

　復号部７８は、データ取得部７２で取得した暗号化データの暗号文ブロックの整数倍を復号し、非暗号化データを平文のまま残し、暗号化データと同じサイズの対象データを生成する。復号部７８は、暗号化データの全部ではなく、暗号化データの一部（１又は複数の暗号文ブロックで構成される）を復号することができる。復号の詳細は後述する。

　暗号鍵生成部７３は、非暗号化データを用いて暗号鍵を生成することができる。暗号鍵は暗号化及び復号で使用する共通鍵である。非暗号化データは、暗号化前の対象データのうち、暗号化装置５０（暗号化部５８）で暗号化の対象となっていない部分のデータである。

　初期化ベクトル生成部７４は、非暗号化データを用いて、最初の暗号文ブロックを復号する際に使用する初期化ベクトルを生成することができる。非暗号化データは、暗号化前の対象データのうち、暗号化装置５０（暗号化部５８）で暗号化の対象となっていない部分のデータである。本開示では、暗号鍵生成部７３及び初期化ベクトル生成部７４を変数生成部とも称し、暗号鍵及び初期化ベクトルを変数とも称する。

　復号開始・終了位置算出部７７は、復号開始位置パラメータに基づいて復号開始位置を算出することができる。復号開始位置パラメータは、暗号化開始位置パラメータと同一である。復号開始位置パラメータは、ユーザが指定でき、値は数値、もしくは％単位とすることができるが、これに限定されない。また、復号開始・終了位置算出部７７は、復号終了位置パラメータに基づいて復号終了位置を算出することができる。復号終了位置パラメータは、暗号化終了位置パラメータと同一である。復号終了位置パラメータは、ユーザが指定でき、値は数値、もしくは％単位とすることができるが、これに限定されない。復号開始・終了位置算出部７７は、復号開始位置及び復号終了位置の少なくとも一方を算出できる。復号開始位置及び復号終了位置の詳細は後述する。

　データ出力部７６は、復号部７８で復号した対象データを外部の装置などへ出力することができる。例えば、復号した対象データは、表示装置へ送信され、表示することができる。

　次に、暗号化及び復号の詳細について説明する。

　図３は本実施の形態の暗号化及び復号による平文と暗号文との関係の一例を示す模式図である。前述のとおり、本実施の形態の暗号化部５８は、対象データの全部ではなく、対象データの一部（１又は複数の平文ブロックで構成される）を暗号化する。対象データのサイズは、（ブロック数×ブロック長＋０以上ブロック長以下のサイズ）で表される。ブロック長はブロックサイズともいう。また、復号部７８は、暗号化データの全部ではなく、暗号化データの一部（１又は複数の暗号文ブロックで構成される）を復号する。図３では、ケースＡ、Ｂ、Ｃ及びＤの４つのケースを図示している。ケースＡでは、暗号化されていない対象データ（全体が平文）のうち、データの先頭から所要長の部分は暗号化されておらず、平文のままである。平文以外の、データの末尾までの残り全部は暗号化された暗号文となっている。ケースＢでは、対象データのうち、データの先頭から所要長の部分、及びデータの末尾から所要長の部分は暗号化されておらず、平文のままである。平文以外の残りの部分は暗号化された暗号文となっている。ケースＣでは、対象データのうち、データの末尾から所要長の部分は暗号化されておらず、平文のままである。平文以外の、データの先頭までの残り全部は暗号化された暗号文となっている。本開示では、ケースＣは、ケースＡを逆順にしたものなので、同一とみなすことができる。ケースＤでは、対象データのうち、データの先頭から所要長の部分、及びデータの末尾から所要長の部分は暗号化された暗号文である。暗号文以外の残りの部分は平文となっている。なお、ケースＡからＤにおいて、暗号文は連続した一塊となっているが、平文を間にして暗号文が離散して複数存在してもよい。

　攻撃者が、暗号文を入手できたとしても、対象データ全体が暗号化されていないので、攻撃者は、対象データの暗号処理開始位置を求めなくてはならない。すなわち、攻撃者は、対象データのどの部分が暗号化されているのかを知らない限り、暗号文を復号できない。これにより、対象データに対するセキュリティを向上させることができるので、暗号文を復号する際のセキュリティを向上させることができる。また、図３のケースＡ、Ｂのように、対象データの先頭（例えば、フォーマットが公開されているファイルのヘッダー部分など）から暗号化しないので、攻撃者は、従来の全数探索攻撃などの攻撃手法を用いることができないので、暗号文に対するセキュリティを向上させることができる。すなわち、暗号文に対する改ざん耐性を強くすることができる。なお、本明細書では、ケースＡの場合を用いて説明する。

　図４は暗号化部５８の構成の一例を示す模式図である。暗号化部５８は、ブロック暗号アルゴリズムを使用し、例えば、ＣＢＣ（Cipher Block Chaining）モードなどの一つのモードだけを使用して暗号化できる。しかし、ＣＢＣモードは、ファイルサイズが、元のファイルサイズより大きくなる場合が多いという欠点がある。ブロック暗号のモードには、ＣＢＣモードの他に、ＥＣＢ（Electronic Code Book）モード、ＣＦＢ（Cipher Feed Back）モード、ＯＦＢ（Output Feed Back）モード、ＣＴＲ（CounTeR）モードなどがある。ＥＣＢモード及びＣＦＢモードは再生攻撃に弱いという欠点がある。ＣＦＢモード及びＯＦＢモードでは、パディングが不要であり、ファイルサイズが大きくなるという欠点がない。

　本実施の形態では、いずれのモードを用いてもよいが、好ましくはＣＢＣモードを用いることができる。ＣＢＣモードであれば、攻撃者が平文と暗号文の両方を取得して同じ暗号文を繰り返し送信するような再生攻撃に対するセキュリティが向上する。複数のモードを組み合わせる必要もないので、複数のモードを用いる場合に比べて、アルゴリズムが簡単になりプログラムのサイズも小さくなり、ＣＰＵパワーやメモリ容量も少なくすることができ処理労力が軽減する。また、ＣＢＣモードはパディングが必要となるが、本実施の形態によれば、後述のように、パディングは不要となる。さらに、特許文献１に記載のパディング不要にするために導入した、再生攻撃が可能なＥＣＢモード及びＣＦＢモードを使用しなくてよい。

　以下、ＣＢＣモードとして説明する。図４に示すように、対象データのうち、暗号化する部分（対象データの一部）を、平文ブロックＢ１、Ｂ２、…、Ｂｎとする。ＣＢＣモードの場合、１つ前の暗号文ブロックを次の平文ブロックの暗号化に使用する。具体的には、暗号化部５８は、平文ブロックと１つ前の暗号文ブロックのＸＯＲ演算を行い、ＸＯＲ演算結果を暗号鍵で暗号化する。このとき、最初の平文ブロックには「１つ前の暗号文ブロック」が存在しないので、初期化ベクトルを用いる。

　図４に示すように、平文ブロックＢ１と初期化ベクトルをＸＯＲ演算し、ＸＯＲ演算結果を暗号鍵で暗号化することにより、暗号文ブロックＥ１を生成する。次に、平文ブロックＢ２と暗号化ブロックＥ１をＸＯＲ演算し、ＸＯＲ演算結果を暗号鍵で暗号化することにより、暗号文ブロックＥ２を生成する。同様にして、平文ブロックＢｎと暗号化ブロックＥ（ｎ－１）をＸＯＲ演算し、ＸＯＲ演算結果を暗号鍵で暗号化することにより、暗号文ブロックＥｎを生成する。暗号化によって、暗号文ブロックＥ１、Ｅ２、…、Ｅｎが生成され、仮に平文ブロックの内容が同じでも、暗号文ブロックＥ１、Ｅ２、…、Ｅｎは、ランダム性が連鎖し、それぞれ異なる値となり、再生攻撃に対するセキュリティが向上する。平文ブロック及び暗号文ブロックのサイズ（ブロック長）は、１６バイト、３２バイトなどとすることができるが、本明細書では、１６バイトとして説明する。なお、ブロック長は、１６バイトや３２バイドに限定されず、他のバイト数（ブロックサイズ）であってもよい。

　また、図４に示すように、対象データのうち、暗号化の対象ではない非暗号データは、暗号化データの同じ位置に格納されている。

　図５は復号部７８の構成の一例を示す模式図である。復号部７８は、暗号化部５８と同様、ブロック暗号アルゴリズムを使用し、例えば、ＣＢＣ（Cipher Block Chaining）モードなどの一つのモードだけを使用して復号できる。ＣＢＣモードであれば、攻撃者が平文と暗号文の両方を取得して同じ暗号文を繰り返し送信するような再生攻撃に対するセキュリティが向上する。複数のモードを組み合わせる必要もないので、複数のモードを用いる場合に比べて、アルゴリズムが簡単になりプログラムのサイズも小さくなり、ＣＰＵパワーやメモリ容量も少なくすることができ処理労力が軽減する。

　暗号化データのうち、復号する部分（暗号化データの一部）を、暗号文ブロックＥ１、Ｅ２、…、Ｅｎとする。ＣＢＣモードの場合、１つ前の暗号文ブロックを次の暗号文ブロックの復号に使用する。具体的には、復号部７８は、暗号文ブロックを暗号鍵で復号し、復号した結果と１つ前の暗号文ブロックのＸＯＲ演算を行って平文ブロックを生成する。このとき、最初の暗号文ブロックには「１つ前の暗号文ブロック」が存在しないので、初期化ベクトルを用いる。

　図５に示すように、暗号文ブロックＥ１を暗号鍵で復号し、復号結果と初期化ベクトルをＸＯＲ演算することにより平文ブロックＢ１を生成できる。次に、暗号文ブロックＥ２を暗号鍵で復号し、復号結果と暗号文ブロックＥ１をＸＯＲ演算することにより平文ブロックＢ２を生成できる。以下、同様にして、暗号文ブロックＥｎを暗号鍵で復号し、復号結果と暗号文ブロックＥ（ｎ－１）をＸＯＲ演算することにより平文ブロックＢｎを生成できる。

　次に、暗号鍵（共通鍵）及び初期化ベクトルの生成方法について説明する。

　変数生成部は、非暗号化データの全部又は一部の情報に基づいて、ブロック暗号のアルゴリズムが暗号化の際に必要とする暗号文生成のための秘匿すべき変数を生成する。変数は、例えば、暗号鍵、初期化ベクトルである。なお、変数を生成する際に、位置パラメータを加えてもよい。このように、実行時に変数を生成する仕組みなので、暗号化および復号において、重要な変数を秘匿しておくことができる。別言すると、変数の一例である暗号鍵や初期化ベクトルを暗号側と復号側で秘密に管理し共有しておく必要がない。

　図６は暗号鍵生成部５３及び初期化ベクトル生成部５４の構成の第１例を示す模式図である。従来の共通鍵暗号手法では、暗号鍵及び初期化ベクトルを暗号化側と復号側とで共有するとともに秘密管理しておく必要がある。本実施の形態では、変数としての暗号鍵及び初期化ベクトルを暗号化側と復号側とで秘密管理する必要はない。暗号鍵及び初期化ベクトルを生成する際に、暗号化側と復号側とで同一のパラメータを使用すればよい。仮に、当該パラメータが攻撃者に入手されても、当該パラメータは、暗号鍵そのもの、あるいは初期化ベクトルそのものではないないので、攻撃者は暗号鍵及び初期化ベクトルを取得できない。

　暗号化側及び復号側で、ユーザは、パラメータとして、文字列Ｐ１、暗号鍵用数値Ｐ２、初期化ベクトル用数値Ｐ３を指定することができる。暗号鍵生成部５３及び初期化ベクトル生成部５４を暗号ライブラリの機能として提供する場合、暗号ライブラリの関数内設定文字列（パラメータ）を予め設定することができる。関数内設定文字列（パラメータ）は、ユーザ毎に使用するパラメータである。また、ユーザを含む特定のグループ、ユーザが所属する部署、あるいは企業に対して固有に割り当てられた識別子（パラメータ）を予め設定してもよい。識別子（パラメータ）は、ユーザ毎に提供する暗号ライブラリに埋め込まれた識別子である。なお、識別子は必須ではないが、識別子を用いることにより、例えば、ユーザが属する企業が異なれば、たとえヘッダー部が同一であっても異なる暗号鍵及び初期化ベクトルを生成できるので、暗号ライブラリを異なる企業に提供しても、同じ暗号鍵及び初期化ベクトルが生成されることを防止できる。

　ハッシュ演算は、ある値を受け取ると、その値をもとに一方向性演算（もしくは一方向性関数）を実施した結果のハッシュ値を返すハッシュ関数による演算を行う。受け取る値が異なるとハッシュ値も異なるが、ハッシュ値から元の値を知ることはできない。ハッシュ関数としては、例えば、ＳＨＡ－２５６（３２バイトのハッシュ値を出力）を用いることができるが、これに限定されない。

　文字列Ｐ１、ユーザ入力によるパラメータとしての関数内設定文字列及び識別情報としての識別子を連結させたものをハッシュ関数に入力し、ハッシュ演算により得られたハッシュ値を再度ハッシュ関数に入力した後のハッシュ値を使用してもよい。なお、ハッシュ関数の入力としては、文字列Ｐ１だけでもよいが、関数内設定文字列及び識別子の少なくとも一方、または両方を入力するようにしてもよい。このようにして所要回数、ハッシュ演算を繰り返して得られたハッシュ値を６４バイト長のバッファの前半部に格納する。次に、前半部に格納したハッシュ値をハッシュ関数に入力し、ハッシュ演算により得られたハッシュ値を再度ハッシュ関数に入力する。このようにして所要回数、ハッシュ演算を繰り返して得られたハッシュ値を６４バイト長のバッファの後半部に格納する。

　バッファに格納された６４バイト長のバイナリ値のうち、暗号鍵用数値Ｐ２で指定される整数値ｘ（０＜ｘ＜３１）で指定される位置から３２バイトのバイナリ値を取り出し、暗号鍵Ｋｅｙ０とすることができる。また、バッファに格納された６４バイト長のバイナリ値のうち、初期化ベクトル用数値Ｐ３で指定される整数値ｙ（０＜ｙ＜３１）で指定される位置から３２バイトのバイナリ値を取り出し、初期化ベクトルＩＶ０とすることができる。

　なお、暗号鍵及び初期化ベクトルの生成方法は、図６の例に限定されるものではなく、他の演算方法を用いてもよい。本実施の形態によれば、暗号鍵及び初期化ベクトルの生成方法のバリエーションを豊富にできる。

　上述のように、本実施の形態によれば、暗号鍵及び初期化ベクトルの秘匿性を高めて、攻撃者が暗号鍵及び初期化ベクトルを不正に入手できる可能性を極めて低くすることができる。理由は、攻撃者（「クラッカー」ともいう）は、アプリケーションの中に書き込まれている定数やサブルーチンにセットする引数（例：暗号鍵、初期化ベクトルなど）は探索解読しやすいが、本実施の形態によって、アプリケーションの実行過程で生成される変数は解読しにくいからである。（理由は、静的解析では解読できないから。解読しようとすると高度な技術を要した攻撃者が、動的解析を実施するしかないから）さらに本実施の形態は、対象データ毎に、これらの変数値が異なる可能性が高いからである。また、ユーザは、暗号鍵及び初期化ベクトルの生成に関与できるが、直接的な関与はできないという点もセキュリティの向上に寄与している。

　図６に示す構成は、暗号化データを復号時の暗号鍵及び初期化ベクトルの生成にも用いることができる。

　図７は暗号鍵生成部５３及び初期化ベクトル生成部５４の構成の第２例を示す模式図である。暗号鍵生成部５３は、対象データのうち暗号化部５８で暗号化しない非暗号化データを用いて暗号鍵を生成する。また、初期化ベクトル生成部５４は、対象データのうち暗号化部５８で暗号化しない非暗号化データを用いて初期化ベクトルを生成する。図７に示すように、非暗号化データは、平文Ｓ１であり、対象データが、例えば、フォーマットが公開されているファイルの場合、非暗号化データとして、ヘッダーの全部又は一部、ヘッダーとフッターの組み合わせなど使用できる。

　暗号鍵生成及び初期化ベクトル生成は、所定の演算や関数を用いることができ、復号の際も暗号化の場合と同じ演算や関数を用いればよい。図７の例では、ハッシュ演算及びＸＯＲ演算を用いている。ハッシュ演算は、ハッシュ関数としては、例えば、ＳＨＡ－２５６を用いることができるが、これに限定されない。平文Ｓ１のバイナリ値をハッシュ関数に入力し、得られたハッシュ値と初期化ベクトルＩＶ０をＸＯＲ演算し、ＸＯＲ演算の結果得られたバイナリ値を初期化ベクトルＩＶ１とすることができる。同様に、平文Ｓ１のバイナリ値をハッシュ関数に入力し、得られたハッシュ値と暗号鍵Ｋｅｙ０をＸＯＲ演算し、ＸＯＲ演算の結果得られたバイナリ値を暗号鍵Ｋｅｙ１とすることができる。なお、初期化ベクトルＩＶ０及び暗号鍵Ｋｅｙ０に代えて、他の異なるバイナリ値を用いてもよい。また、ハッシュ演算は複数回繰り返してもよい。

　攻撃者は、暗号鍵生成に使用する非暗号化データ自身、暗号鍵生成のための所定の演算や関数などのアルゴリズムを知らない限り、暗号鍵を生成することができないので、事実上、暗号鍵が暴露される可能性は極めて低い。また、対象データ毎に非暗号化データが異なれば、ハッシュ演算及びＸＯＲ演算の結果が異なるので、対象データ毎に異なる暗号鍵を生成することができ、対象データに対するセキュリティが向上する。

　同様に、攻撃者は、初期化ベクトル生成に使用する非暗号化データ自身、初期化ベクトル生成のための所定の演算や関数などのアルゴリズムを知らない限り、初期化ベクトルを生成することができないので、事実上、初期化ベクトルが暴露される可能性は極めて低い。また、対象データ毎に非暗号化データが異なれば、ハッシュ演算及びＸＯＲ演算の結果が異なるので、対象データ毎に異なる初期化ベクトルを生成することができ、対象データに対するセキュリティが向上する。

　また、非暗号化データの情報の他に、ユーザ入力による所定のパラメータ及び所定の識別情報の少なくとも１つ、または両方を用いて暗号鍵及び初期化ベクトルを生成することにより、攻撃者は、所定のパラメータ又は所定の識別情報を知らないと、さらに暗号鍵及び初期化ベクトルを生成することが困難となり、暗号鍵及び初期化ベクトルが暴露される可能性はさらに低下する。

　復号装置７０の暗号鍵生成部７３及び初期化ベクトル生成部７４の構成も図７と同様の構成とすることができる。暗号鍵生成部７３は、暗号化データのうち暗号化部５８で暗号化しない非暗号化データを用いて暗号鍵を生成することができる。また、初期化ベクトル生成部７４は、暗号化データのうち暗号化部５８で暗号化しない非暗号化データを用いて初期化ベクトルを生成する。図７の例では、暗号化データのうち、平文Ｓ１は、対象データの平文Ｓ１と同じである。

　図６又は図７に示すように、比較的簡単な演算を行うことにより、暗号鍵及び初期化ベクトルを生成することができる。このように、例えば、初期化ベクトルを生成するために、複数のモードを組み合わせた複雑な処理を行う必要がないので、アルゴリズムが簡単になりプログラムのサイズも小さくなり、ＣＰＵパワーやメモリ容量も少なくすることができ処理労力が軽減する。

　次に、暗号化開始位置及び暗号化終了位置の決定方法について説明する。

　図８は暗号ライブラリで暗号化部５８の機能を実現するための暗号化関数の一例を示す模式図である。暗号化関数ＣＲｃｒｙｐｔ＿Ｅｎｃｒｙｐｔは、暗号ライブラリ内で定義され、アプリケーションが対象データの暗号化を行う際に、アプリケーションから呼び出すことができる。図８に示す暗号化関数は便宜的に示すものであり、実際にプログラム上で呼び出す際の記載とは異なる場合がある。暗号化関数ＣＲｃｒｙｐｔ＿Ｅｎｃｒｙｐｔは、例えば、４つの引数（引数１、２、３、４）を有する。引数１は対象データが格納されている領域（アドレス）を指し示す。引数２は対象データのサイズ（単位はバイト）を示す。引数３は暗号化開始位置パラメータを示し、引数４は暗号化終了位置パラメータを示す。

　暗号化開始位置パラメータ及び暗号化終了位置パラメータは、ユーザが指定でき、値は数値、もしくは％単位とすることができるが、これに限定されない。また、暗号化開始位置パラメータは暗号化終了位置パラメータより小さい値である。

　暗号化開始・終了位置算出部５７は、対象データのサイズに暗号化開始位置パラメータを乗算して、暗号化開始位置を算出することができる。また、暗号化開始・終了位置算出部５７は、対象データのサイズに暗号化終了位置パラメータを乗算して、暗号化終了位置を算出することができる。

　図８に示すように、対象データのサイズ（引数２）を３８４バイトとし、暗号化開始位置パラメータ（引数３）を１７（％）とすると、暗号化開始位置は６６バイト目となる。暗号化終了位置パラメータ（引数４）を９０（％）とすると、暗号化終了位置は３４６バイト目となる（３４６バイト目まで暗号化する）。また、対象データのサイズが異なる場合、例えば、対象データのサイズ（引数２）を７６８バイトとし、暗号化開始位置パラメータ（引数３）を１７（％）とすると、暗号化開始位置は１３１バイト目となる。暗号化終了位置パラメータを９０（％）とすると、暗号化終了位置は６９２バイト目となる（６９２バイト目まで暗号化する）。このように、同じ暗号化開始位置パラメータを指定しても、対象データのサイズによって暗号化開始位置が異なるので、仮に攻撃者が暗号化開始位置パラメータを不正に入手しても、暗号化開始位置を正確に知ることはできない。同様に、同じ暗号化終了位置パラメータを指定しても、対象データのサイズによって暗号化終了位置が異なるので、仮に攻撃者が暗号化終了位置パラメータを不正に入手しても、暗号化終了位置を正確に知ることはできない。すなわち、仮に攻撃者が暗号化開始位置及び暗号化終了位置パラメータを不正に入手しても、暗号化開始位置及び暗号化終了位置を正確に知ることはできない。

　暗号化部５８は、暗号化開始・終了位置算出部５７で算出した暗号化開始位置から平文ブロックを暗号化する。暗号化開始位置が暴露される可能性は極めて低いので、対象データに対するセキュリティが向上する。暗号化部５８は、暗号化開始・終了位置算出部５７で算出した暗号化終了位置で平文ブロックの暗号化を終了する。暗号化終了位置が暴露される可能性は極めて低いので、対象データに対するセキュリティが向上する。

　また、従来、一般的には、アプリケーションから暗号化のための関数を呼び出す際に、暗号鍵及び初期化ベクトルの値を関数の引数としてセットする。攻撃者は、セットされた暗号鍵及び初期化ベクトルの値をメモリから抜き出す可能性がある。しかし、本実施の形態では、暗号化部５８（暗号化関数）では、ユーザは明示的に暗号鍵及び初期化ベクトルを指定することができない。具体的には、暗号化関数の引数として、暗号鍵及び初期化ベクトルの値ではなく、暗号化開始位置パラメータ及び暗号化終了位置パラメータを指定するようにしている。これにより、攻撃者が、暗号化関数の引数の値を見つけ出しても、暗号鍵及び初期化ベクトルの値と全く関係ないパラメータであるため、攻撃者が暗号鍵及び初期化ベクトルを探り出す手間を増大させることができる。

　復号の場合も暗号化の場合と同様である。復号開始・終了位置算出部７７は、暗号化データのサイズに復号開始位置パラメータを乗算して、復号開始位置を算出することができる。なお、本実施の形態では、パディングが不要であるので、対象データのサイズと暗号化データのサイズは変わらない。例えば、復号開始位置パラメータを１７（％）とし、暗号化データのサイズを３８４バイトとすると、復号開始位置は６６バイト目となる。また、暗号化データのサイズを７６８バイトとすると、復号開始位置は１３１バイト目となる。このように、同じ復号開始位置パラメータを指定しても、暗号化データのサイズによって復号開始位置が異なるので、仮に攻撃者が復号開始位置パラメータを不正に入手しても、復号開始位置を正確に知ることはできない。

　復号開始・終了位置算出部７７は、暗号化データのサイズに復号終了位置パラメータを乗算して、復号終了位置を算出することができる。例えば、復号終了位置パラメータを９０（％）とし、暗号化データのサイズを３８４バイトとすると、復号終了位置は３４６バイト目となる（３４６バイト目まで復号する）。また、暗号化データのサイズを７６８バイトとすると、復号終了位置は６９２バイト目となる。このように、同じ復号終了位置パラメータを指定しても、暗号化データのサイズによって復号終了位置が異なるので、仮に攻撃者が復号終了位置パラメータを不正に入手しても、復号終了位置を正確に知ることはできない。

　復号部７８は、復号開始・終了位置算出部７７で算出した復号開始位置から暗号文ブロックを復号する。復号開始位置が暴露される可能性は極めて低いので、暗号文を復号する際のセキュリティが向上する。復号部７８は、復号開始・終了位置算出部７７で算出した復号終了位置で暗号文ブロックの復号を終了する。復号終了位置が暴露される可能性は極めて低いので、暗号文を復号する際のセキュリティが向上する。

　次に、本実施の形態ではパディングが不要であることについて説明する。

　図９は暗号化対象のサイズがブロック長の整数倍に等しい場合の暗号化の一例を示す模式図である。ブロック長を、例えば、１６バイトとする。暗号化対象は、暗号化開始位置から暗号化終了位置までの平文である。暗号化対象のサイズが１６バイトの整数倍（例えば、Ｎ倍）に等しい場合には、Ｎ個の平文ブロックからＮ個の暗号文ブロックを生成できる。

　図１０は暗号化対象のサイズがブロック長の整数倍に等しくない場合の暗号化の一例を示す模式図である。暗号化対象のサイズが１６バイトの整数倍（例えば、Ｎ倍）に等しくない場合には、暗号化対象の平文ブロックのうち、最後の平文ブロックのサイズは１６バイト未満となり、１６バイトになるようにパディングが必要となる。しかし、本実施の形態では、暗号化開始・終了位置算出部５７は、暗号化開始位置と暗号化終了位置との差（サイズの差）が、１６バイトの整数倍（例えば、Ｎ倍）となるように暗号化開始位置を（暗号化対象のサイズが小さくなる方向に）調整する。

　暗号化部５８は、暗号化するデータサイズがブロック長の整数倍でない場合、データサイズがブロック長の整数倍になるように暗号化開始位置又は暗号化終了位置を調整して平文ブロックを暗号化することができる。

　例えば、暗号化開始位置から対象データの最後（最後まで暗号化する場合）までのデータサイズ、暗号化開始位置から暗号化終了位置までのデータサイズ、対象データの最初（最初から暗号化する場合）から暗号化終了位置までのデータサイズが、ブロック長の整数倍でない場合、データサイズがブロック長の整数倍になるように暗号化開始位置又は暗号化終了位置を調整して平文ブロックを暗号化できる。

　上述のように、本実施の形態では、パディング処理が不要である、ＣＦＢモードやＯＦＢモードを使用しなくてもパディング処理が不要である。別言すれば、パディング処理が必要であるＣＢＣモードを使用してもパディング処理を不要にすることができる。また、パディング処理が不要なため、暗号化の前後において、対象データ（対象ファイル）のサイズが変わらない。すなわち、データサイズ（ファイルサイズ）が暗号化によって増加しないので、データ（ファイル）の転送時の通信量や通信時間が増大することを抑制できる。

　本実施の形態では、暗号化データのサイズが対象データのサイズと同じとなる。これにより、暗号化後のデータ量が大きくならないため、好ましい。ただし、暗号化データのサイズが対象データのサイズと同じになることに限定するものではない。暗号化データのサイズより対象データのサイズをより大きくすることにより、攻撃者を惑わせるという意図で、増大させることが有効となるからである。具体的な実施の形態は、暗号済み各ブロックの間に、所定サイズのバイナリで、不定のバイナリ値のデータを差し込むものである。この形態により、攻撃者は復号時において、意味のないバイナリ値まで含んで、解釈することになるからである。

　また、暗号化開始位置又は暗号化終了位置を調整した後に、この１バイトから１５バイト（ブロックサイズが１６バイトの時の例）のデータ列に対して、ある所定のバイナリデータをＸＯＲした結果を採用してもよい。このような形態でも、パディング処理が不要であるばかりでなく、暗号化開始位置又は暗号化終了位置を、攻撃者に判別させにくくするという効果が得られる。

　上述では、暗号化開始位置又は暗号化終了位置を調整した後のあまり部分に、所定のバイナリデータをＸＯＲしたが、ＸＯＲの対象は、対象データの全部でも一部でもよい。

　図１１は本実施の形態の暗号化処理を画像ファイルに適用した場合の一例を示す模式図である。暗号化前の画像ファイルには、複数の人物が写っている。暗号化後の画像ファイルには、人物が特定できないように暗号化されている。本実施の形態では、対象ファイル全体を暗号化しないので、公開されているフォーマット情報を壊すことなく隠したい情報だけを暗号化できる。例えば、対象ファイルの先頭位置から暗号化開始位置までの非暗号化データにファイルのヘッダーが含まれている場合、ヘッダー部分を壊すことなく対象ファイルを暗号化できる。この結果、図１１に示すように、対象ファイルが画像ファイルの場合、ビューワーなどのツールを用いて画像を見ることができる。

　すなわち、ビューワーで暗号化済みファイルを表示することが可能となる。従来のように画像ファイル全体を暗号化するとヘッダー情報も壊れてしまうので暗号化済の画像を見ることはできない。また、暗号指示したサイズ分だけ画像が暗号化されるため、元通りの画像は表示されず、暗号指示した部分だけ砂嵐のような画像が表示される。これにより、暗号化して画像ファイルを守りたいという目的を達成しつつクラッキング行為に対して、より高耐性の暗号化方法を提供できる。また、画像ファイルとしての価値をなくす目的を達成できればよい場合は、画像部分全体を暗号する必要なく、画像の一部に砂嵐のような画像を表示すれば元の画像の価値は喪失する。これにより、暗号化に要する時間を短縮できる。

　図１２は暗号ライブラリを組み込んだアプリケーションのモジュールの一例を示す模式図である。暗号ライブラリは、暗号鍵生成部５３、初期化ベクトル生成部５４、暗号化開始・終了位置算出部５７、及び暗号化部５８それぞれの機能、暗号鍵生成部７３、初期化ベクトル生成部７４、復号開始・終了位置算出部７７、及び復号部７８それぞれの機能を含む。図１２に示すように、アプリケーション（プログラム）は、例えば、４つのモジュールを含む。モジュール１、２、３、４それぞれは、例えば、初期化モジュール、描画前処理モジュール、暗号処理モジュール（メインモジュール）、エラー処理モジュールとすることができるが、これに限定されない。暗号処理モジュールでは、所定の処理が繰り返され、処理が終了するとアプリケーションは終了する。

　図６で例示した、文字列パラメータＰ１及び暗号鍵用数値Ｐ２の指定をモジュール１で行う。また、初期化ベクトル用数値Ｐ３の指定をモジュール２で行う。このように、文字列パラメータＰ１、暗号鍵用数値Ｐ２及び初期化ベクトル用数値Ｐ３の指定を暗号化および復号を行う関数を読み出す暗号処理モジュールで行うのではなく、暗号処理モジュールとは別のモジュール（暗号処理モジュールよりも前に実行されるモジュール）で行う。このように、暗号化や復号に必要となるパラメータが暗号処理モジュール（あるいは、関数を読み出す近傍）で指定されていないため、攻撃者がアプリケーションを解析しても、暗号化や復号に必要となるパラメータを探し出すことが困難となる。

　図１３は本実施の形態の暗号化装置５０及び復号装置７０の他の構成の一例を示すブロック図である。暗号化装置５０及び復号装置７０それぞれは、コンピュータ１００で実現することができる。コンピュータ１００は、ＣＰＵ１０１、揮発性メモリ１０２、通信部１０３、操作部１０４、不揮発性メモリ１０５、記録媒体読取部１０６、及び表示部１０７を備える。

　ＣＰＵ１０１は、例えば、プロセッサ、あるいは複数のプロセッサコアを実装したマルチ・プロセッサなどで構成することができる。ＣＰＵ１０１は、並列プロッセサでもよく、ＤＳＰ（Digital Signal Processors）、ＦＰＧＡ（Field-Programmable Gate Arrays）などのハードウェアを組み合わせることによって構成してもよい。

　本実施の形態の暗号化装置５０は、ＣＰＵ１０１（プロセッサ）を備え、ＣＰＵ１０１は、暗号鍵生成部５３、初期化ベクトル生成部５４、暗号化開始・終了位置算出部５７、及び暗号化部５８が行う処理を実行できる。例えば、本実施の形態の暗号化装置は、プロセッサを備え、当該プロセッサは、対象データの一部である平文ブロックを暗号化する。

　本実施の形態の復号装置７０は、ＣＰＵ１０１（プロセッサ）を備え、ＣＰＵ１０１は、暗号鍵生成部７３、初期化ベクトル生成部７４、復号開始・終了位置算出部７７、及び復号部７８が行う処理を実行できる。例えば、本実施の形態の復号装置は、暗号化データを復号する復号装置であって、プロセッサを備え、暗号化データは、暗号化されていない非暗号化データと暗号化された暗号文ブロックとを含み、当該プロセッサは、暗号文ブロックを復号する。

　揮発性メモリ１０２は、ＲＡＭ（Random Access Memory）、ＤＲＡＭ、ＳＲＡＭなどで構成することができる。

　不揮発性メモリ１０５は、ＲＯＭ、フラッシュメモリ、ＨＤＤなどの磁気記憶装置などで構成することができる。

　通信部１０３は、通信回路、通信ポートなどを備え、通信ネットワーク１を介してサーバ２００との間でデータや情報の送受信を行うことができる。

　操作部１０４は、キーボード、マウス、タッチパッドなどを備え、表示部１０７に表示されたアイコンなどの操作、文字等の入力などを行うことができる。

　表示部１０７は、液晶パネル又は有機ＥＬ（Electro Luminescence）ディスプレイ等で構成することができる。

　記録媒体読取部１０６は、ＤＶＤなどの記録媒体に記録された情報（コンピュータプログラム、データなど）を読み取り、読み取った情報を不揮発性メモリ１０５に格納する。なお、記録媒体読取部１０６で読み取った情報をＨＤＤに格納してもよい。

　記録媒体Ｍ１は、例えば、暗号化プログラム、復号プログラムを記録している。暗号化プログラムは、暗号鍵生成部５３、初期化ベクトル生成部５４、暗号化開始・終了位置算出部５７、及び暗号化部５８それぞれが行う処理をコンピュータに実行させることができる。暗号化プログラムは、後述の図１４に示すような処理をコンピュータに実行させることができる。復号プログラムは、暗号鍵生成部７３、初期化ベクトル生成部７４、復号開始・終了位置算出部７７、及び復号部７８それぞれが行う処理をコンピュータに実行させることができる。復号プログラムは、後述の図１５に示すような処理をコンピュータに実行させることができる。

　記録媒体Ｍ２は、暗号化データを記録している。暗号化データは、暗号化されていない非暗号化データと暗号化された暗号文ブロックとを含む。コンピュータ１００は、非暗号化データの全部又は一部の情報に基づいて、ブロック暗号のアルゴリズムが復号の際に必要とする平文生成のための秘匿すべき変数を生成する処理を行い、生成された変数を用いて、暗号文ブロックを復号することができる。

　暗号化データの復号処理は、暗号化データの全部ではなく、暗号化データの一部（１又は複数の暗号文ブロックで構成される）を復号する。攻撃者が、暗号文（暗号化データ）を入手できたとしても、暗号化データ全体が暗号化されていないので、攻撃者は、暗号化データの暗号処理開始位置を求めなくてはならない。すなわち、攻撃者は、暗号化データのどの部分が暗号化されているのかを知らない限り、暗号文を復号できない。これにより、暗号文を復号する際のセキュリティを向上させることができる。

　また、図１３に示すように、コンピュータ１００は、記録媒体Ｍ１に記録された暗号化プログラム及び復号プログラムと同様の暗号化プログラム及び復号プログラムを、通信部１０３を介してサーバ２００から取得（例えば、ダウンロード）することができる。

　図１４は暗号化装置５０による暗号化の処理手順の一例を示すフローチャートである。以下では、便宜上、処理の主体を制御部５１として説明する。制御部５１は、対象データ（対象ファイル）を取得し（Ｓ１１）、文字列Ｐ１、暗号鍵用数値Ｐ２、初期化ベクトル用数値Ｐ３の各パラメータを取得する（Ｓ１２）。制御部５１は、対象データの先頭部分の文字列（非暗号化データ）を取得する（Ｓ１３）。

　制御部５１は、暗号化開始位置パラメータ、暗号化終了位置パラメータを取得する（Ｓ１４）。制御部５１は、文字列Ｐ１、暗号鍵用数値Ｐ２、先頭部分の文字列に基づいて暗号鍵（共通鍵）を生成する（Ｓ１５）。制御部５１は、文字列Ｐ１、初期化ベクトル用数値Ｐ３、先頭部分の文字列に基づいて初期化ベクトルを生成する（Ｓ１６）。対象データ毎に異なる暗号鍵及び初期化ベクトルを生成する場合には、対象データの先頭部分の文字列を用いることができるが、対象データ毎に異なる暗号鍵及び初期化ベクトルを生成しない場合には、対象データの先頭部分の文字列を用いなくてもよい。

　制御部５１は、暗号化開始位置パラメータ、暗号化終了位置パラメータに基づいて、対象データの暗号化開始位置、暗号化終了位置を算出し（Ｓ１７）、暗号化する部分（暗号化開始位置から暗号化終了位置までのデータサイズ）が１６バイトの整数倍であるか否かを判定する（Ｓ１８）。

　暗号化する部分が１６バイトの整数倍でない場合（Ｓ１８でＮＯ）、制御部５１は、暗号化する部分が１６バイトの整数倍になるように、暗号開始位置を調整し（Ｓ１９）、後述のステップＳ２０の処理を行う。なお、図３に示す各ケースに応じて暗号化終了位置を調整してもよい。暗号化する部分が１６バイトの整数倍である場合（Ｓ１８でＹＥＳ）、制御部５１は、暗号化対象の平文ブロックを暗号化して暗号文ブロックを生成し（Ｓ２０）、暗号化データを出力し（Ｓ２１）、処理を終了する。

　図１５は復号装置７０による複合の処理手順の一例を示すフローチャートである。以下では、便宜上、処理の主体を制御部７１として説明する。制御部７１は、暗号化データを取得し（Ｓ３１）、文字列Ｐ１、暗号鍵用数値Ｐ２、初期化ベクトル用数値Ｐ３の各パラメータを取得する（Ｓ３２）。制御部７１は、暗号化データの先頭部分の文字列（非暗号化データ）を取得する（Ｓ３３）。

　制御部７１は、復号開始位置パラメータ、復号終了位置パラメータを取得する（Ｓ３４）。制御部７１は、文字列Ｐ１、暗号鍵用数値Ｐ２、先頭部分の文字列に基づいて暗号鍵（共通鍵）を生成する（Ｓ３５）。制御部７１は、文字列Ｐ１、初期化ベクトル用数値Ｐ３、先頭部分の文字列に基づいて初期化ベクトルを生成する（Ｓ３６）。

　制御部７１は、復号開始位置パラメータ、復号終了位置パラメータに基づいて、暗号化データの復号開始位置、復号終了位置を算出する（Ｓ３７）。制御部７１は、暗号文ブロックを復号し（Ｓ３８）、復号して得られた対象データ（対象ファイル）を出力し（Ｓ３９）、処理を終了する。

　本実施の形態の暗号化装置は、対象データをブロック暗号により暗号化する暗号化装置であって、前記対象データの平文ブロックの整数倍を暗号化し、暗号化しない対象データは平文のまま残す暗号化部と、前記暗号化部で暗号化しない非暗号化データの全部又は一部の情報に基づいて、ブロック暗号のアルゴリズムが暗号化の際に必要とする暗号文生成のための秘匿すべき変数を生成する変数生成部とを備える。

　本実施の形態の暗号化装置は、対象データをブロック暗号により暗号化する暗号化装置であって、プロセッサを備え、前記プロセッサは、前記対象データの平文ブロックの整数倍を暗号化し、暗号化しない対象データは平文のまま残し、暗号化しない非暗号化データの全部又は一部の情報に基づいて、ブロック暗号のアルゴリズムが暗号化の際に必要とする暗号文生成のための秘匿すべき変数を生成する。

　本実施の形態のコンピュータプログラムは、コンピュータに、対象データを取得する処理と、取得した対象データの平文ブロックの整数倍を暗号化し、暗号化しない対象データを平文のまま残す処理と、暗号化しない非暗号化データの全部又は一部の情報に基づいて、ブロック暗号のアルゴリズムが暗号化の際に必要とする暗号文生成のための秘匿すべき変数を生成する処理とを実行させる。

　本実施の形態の暗号化方法は、対象データをブロック暗号により暗号化する暗号化方法であって、前記対象データの平文ブロックの整数倍を暗号化し、暗号化しない対象データを平文のまま残し、暗号化しない非暗号化データの全部又は一部の情報に基づいて、ブロック暗号のアルゴリズムが暗号化の際に必要とする暗号文生成のための秘匿すべき変数を生成する。

　本実施の形態の記録媒体は、コンピュータプログラムを記録するコンピュータでの読み取りが可能な非一時的な記録媒体であって、前記コンピュータプログラムは、コンピュータに、対象データを取得する処理と、取得した対象データの平文ブロックの整数倍を暗号化し、暗号化しない対象データを平文のまま残す処理と、暗号化しない非暗号化データの全部又は一部の情報に基づいて、ブロック暗号のアルゴリズムが暗号化の際に必要とする暗号文生成のための秘匿すべき変数を生成する処理とを実行させる。

　暗号化部は、対象データの平文ブロックの整数倍を暗号化し、暗号化しない対象データを平文のまま残す。対象データは、暗号化の対象となるデータであり、例えば、ファイルや通信プロトコルなどを含む。暗号化部は、ブロック暗号アルゴリズムを使用し、例えば、ＣＢＣ（Cipher Block Chaining）モードなどの一つのモードだけを使用して暗号化できる。ＣＢＣモードであれば、攻撃者が平文と暗号文の両方を取得して同じ暗号文を繰り返し送信するような再生攻撃に対するセキュリティが向上する。複数のモードを組み合わせる必要もないので、複数のモードを用いる場合に比べて、アルゴリズムが簡単になりプログラムのサイズも小さくなり、ＣＰＵパワーやメモリ容量も少なくすることができ処理労力が軽減する。暗号化しない平文を残した状態（すなわち、対象データの全体を暗号化しない）で平文ブロックの整数倍を暗号化するので、暗号化の際のパディングは不要となる。

　暗号化部は、対象データの全部ではなく、対象データの一部（１又は複数の平文ブロックで構成される）を暗号化する。攻撃者が、暗号文（暗号化後の対象データ）を入手できたとしても、対象データ全体が暗号化されていないので、攻撃者は、対象データの暗号処理開始位置を求めなくてはならない。すなわち、攻撃者は、対象データのどの部分が暗号化されているのかを知らない限り、暗号文を復号できない。これにより、暗号化の対象データに対するセキュリティを向上させることができる。

　変数生成部は、非暗号化データの全部又は一部の情報に基づいて、ブロック暗号のアルゴリズムが暗号化の際に必要とする暗号文生成のための秘匿すべき変数を生成する。変数は、例えば、暗号鍵、初期化ベクトルである。非暗号化データは、平文であり、対象データが、例えば、フォーマットが公開されているファイルの場合、非暗号化データとして、ヘッダーの全部又は一部、あるいはフッターなど使用できる。攻撃者は、変数生成に使用する非暗号化データ自身、変数生成のための所定の演算や関数などのアルゴリズムを知らない限り、変数を生成することができないので、事実上、変数が暴露される可能性は極めて低い。

　本実施の形態の暗号化装置は、暗号化開始位置パラメータに基づいて暗号化開始位置を算出する暗号化開始位置算出部を備え、前記暗号化部は、前記暗号化開始位置算出部で算出した暗号化開始位置から前記平文ブロックを暗号化する。

　暗号化開始位置算出部は、暗号化開始位置パラメータに基づいて暗号化開始位置を算出する。暗号化開始位置パラメータは、ユーザが指定でき、値は数値、単位は％とすることができるが、これに限定されない。暗号化開始位置算出部は、対象データのサイズに暗号化開始位置パラメータを乗算して、暗号化開始位置を算出することができる。例えば、暗号化開始位置パラメータを１７（％）とし、対象データのサイズを３８４バイトとすると、暗号化開始位置は６６バイト目となる。また、対象データのサイズを７６８バイトとすると、暗号化開始位置は１３１バイト目となる。このように、同じ暗号化開始位置パラメータを指定しても、対象データのサイズによって暗号化開始位置が異なるので、仮に攻撃者が暗号化開始位置パラメータを不正に入手しても、暗号化開始位置を正確に知ることはできない。

　暗号化部は、暗号化開始位置算出部で算出した暗号化開始位置から平文ブロックを暗号化する。暗号化開始位置が暴露される可能性は極めて低いので、対象データに対するセキュリティが向上する。

　本実施の形態の暗号化装置は、暗号化終了位置パラメータに基づいて暗号化終了位置を算出する暗号化終了位置算出部を備え、前記暗号化部は、前記暗号化終了位置算出部で算出した暗号化終了位置で前記平文ブロックの暗号化を終了する。

　暗号化終了位置算出部は、暗号化終了位置パラメータに基づいて暗号化終了位置を算出する。暗号化終了位置パラメータは、ユーザが指定でき、値は数値、単位は％とすることができるが、これに限定されない。暗号化終了位置算出部は、対象データのサイズに暗号化終了位置パラメータを乗算して、暗号化終了位置を算出することができる。例えば、暗号化終了位置パラメータを９０（％）とし、対象データのサイズを３８４バイトとすると、暗号化終了位置は３４６バイト目となる（３４６バイト目まで暗号化する）。また、対象データのサイズを７６８バイトとすると、暗号化終了位置は６９２バイト目となる。このように、同じ暗号化終了位置パラメータを指定しても、対象データのサイズによって暗号化終了位置が異なるので、仮に攻撃者が暗号化終了位置パラメータを不正に入手しても、暗号化終了位置を正確に知ることはできない。

　暗号化部は、暗号化終了位置算出部で算出した暗号化終了位置で平文ブロックの暗号化を終了する。暗号化終了位置が暴露される可能性は極めて低いので、対象データに対するセキュリティが向上する。

　本実施の形態の暗号化装置において、暗号化部は、暗号化するデータサイズがブロック長の整数倍でない場合、前記データサイズがブロック長の整数倍になるように暗号化開始位置又は暗号化終了位置を調整して前記平文ブロックを暗号化する。

　例えば、暗号化開始位置から対象データの最後（最後まで暗号化する場合）までのデータサイズ、暗号化開始位置から暗号化終了位置までのデータサイズ、対象データの最初（最初から暗号化する場合）から暗号化終了位置までのデータサイズが、ブロック長の整数倍でない場合、データサイズがブロック長の整数倍になるように暗号化開始位置又は暗号化終了位置を調整して平文ブロックを暗号化する。

　これにより、パディング処理が不要となる。また、パディング処理が不要なため、暗号化の前後において、対象データ（対象ファイル）のサイズが変わらない。すなわち、データサイズ（ファイルサイズ）が暗号化によって増加しないので、データ（ファイル）の転送時の通信量や通信時間が増大することを抑制できる。

　本実施の形態の暗号化装置は、前記暗号化部で暗号化した結果の暗号化データのサイズが、元の対象データのサイズと変わらない。

　暗号化部で暗号化した結果の暗号化データのサイズが、元の対象データのサイズと変わらない。データサイズ（ファイルサイズ）が暗号化によって増加しないので、データ（ファイル）の転送時の通信量や通信時間が増大することを抑制できる。

　本実施の形態の暗号化装置において、非暗号化データは、対象データ内で連続したデータ又は離散したデータである。

　非暗号化データは、連続したデータでもよい。例えば、対象データが、フォーマットが公開されているファイルの場合、非暗号化データとして、ヘッダー部分を用いることができる。また、非暗号化データは、離散したデータでもよい。例えば、非暗号化データは、ヘッダー部分とフッター部分のように、データ部分で複数分離された部分でもよい。

　本実施の形態の暗号化装置は、前記変数として暗号鍵を生成する暗号鍵生成部を備え、前記暗号化部は、前記暗号鍵生成部で生成した暗号鍵を用いて前記平文ブロックを暗号化する。

　暗号鍵生成部は、対象データのうち暗号化部で暗号化しない非暗号化データを用いて変数としての暗号鍵を生成する。暗号鍵は暗号化及び復号で使用する共通鍵である。非暗号化データは、平文であり、対象データが、例えば、フォーマットが公開されているファイルの場合、非暗号化データとして、ヘッダーの全部又は一部、あるいはフッターなど使用できる。暗号鍵生成は、所定の演算や関数を用いることができ、復号の際も暗号化の場合と同じ演算や関数を用いればよい。攻撃者は、暗号鍵生成に使用する非暗号化データ自身、暗号鍵生成のための所定の演算や関数などのアルゴリズムを知らない限り、暗号鍵を生成することができないので、事実上、暗号鍵が暴露される可能性は極めて低い。また、対象データ毎に非暗号化データが異なれば、対象データ毎に異なる暗号鍵を生成することができ、対象データに対するセキュリティが向上する。

　暗号化部は、暗号鍵生成部で生成した暗号鍵を用いて平文ブロックを暗号化する。対象データのうち、暗号化する部分（対象データの一部）を、平文ブロックＢ１、Ｂ２、…、Ｂｎとする。ブロック暗号のモードが、ＣＢＣモードの場合、１つ前の暗号文ブロックを次の平文ブロックの暗号化に使用する。具体的には、平文ブロックと１つ前の暗号文ブロックのＸＯＲ演算を行い、ＸＯＲ演算結果を暗号鍵で暗号化する。このとき、最初の平文ブロックには「１つ前の暗号文ブロック」が存在しないので、初期化ベクトルを用いる。暗号化によって、暗号文ブロックＥ１、Ｅ２、…、Ｅｎが生成され、仮に平文ブロックの内容が同じでも、暗号文ブロックＥ１、Ｅ２、…、Ｅｎは、ランダム性が連鎖し、それぞれ異なる値となり、再生攻撃に対するセキュリティが向上する。

　本実施の形態の暗号化装置は、前記変数として最初の平文ブロックを暗号化する際に使用する初期化ベクトルを生成する初期化ベクトル生成部を備え、前記暗号化部は、前記初期化ベクトル生成部で生成した初期化ベクトルを用いて前記最初の平文ブロックを暗号化する。

　初期化ベクトル生成部は、対象データのうち暗号化部で暗号化しない非暗号化データを用いて、最初の平文ブロックを暗号化する際に使用する変数としての初期化ベクトルを生成する。非暗号化データは、平文であり、対象データが、例えば、フォーマットが公開されているファイルの場合、非暗号化データとして、ヘッダーの全部又は一部、あるいはフッターなど使用できる。初期化ベクトル生成は、所定の演算や関数を用いることができ、復号の際も暗号化の場合と同じ演算や関数を用いればよい。攻撃者は、初期化ベクトル生成に使用する非暗号化データ自身、初期化ベクトル生成のための所定の演算や関数などのアルゴリズムを知らない限り、初期化ベクトルを生成することができないので、事実上、初期化ベクトルが暴露される可能性は極めて低い。また、対象データ毎に非暗号化データが異なれば、対象データ毎に異なる初期化ベクトルを生成することができ、対象データに対するセキュリティが向上する。

　暗号化部は、初期化ベクトル生成部で生成した初期化ベクトルを用いて最初の平文ブロックを暗号化する。ブロック暗号のモードをＣＢＣモードとし、最初の平文ブロックをＥ１とし、初期化ベクトルをＩＶとすると、暗号化部は、平文ブロックＥ１と初期化ベクトルＩＶのＸＯＲ演算を行い、ＸＯＲ演算結果を暗号鍵で暗号化して最初の暗号文ブロックＥ１を生成することができる。

　本実施の形態の暗号化装置において、前記変数生成部は、さらに、パラメータ及び識別情報の少なくとも１つ、または両方を用いて、ブロック暗号のアルゴリズムが暗号化の際に必要とする暗号文生成のための秘匿すべき変数を生成することにより、対象データ毎に異なる変数によりブロック暗号が可能となる。

　パラメータは、ユーサ毎に使用するパラメータであり、例えば、変数生成部を暗号ライブラリの機能として提供する場合、暗号ライブラリの関数内設定文字列とすることができる。また、識別情報は、ユーザ毎に提供する暗号ライブラリに埋め込まれた識別子であり、例えば、暗号化処理を行うユーザを含む特定のグループ、ユーザが所属する部署、あるいは企業などを識別するために固有に割り当てられた識別子とすることができる。

　非暗号化データの情報の他に、パラメータ及び識別情報の少なくとも１つ、または両方を用いて変数を生成することにより、攻撃者は、パラメータ又は識別情報を知らないと、さらに変数を生成することが困難となり、変数が暴露される可能性はさらに低下する。また、識別情報を用いることにより、例えば、ユーザが属する企業が異なれば、たとえ非暗号化データが同一であっても、異なる変数を生成できるので、暗号ライブラリを異なる企業に提供しても、同じ変数が生成されることを防止できる。また、対象データ毎に異なる変数によりブロック暗号が可能となる。

　本実施の形態の復号装置は、ブロック暗号に基づく暗号化データを復号する復号装置であって、前記暗号化データは、暗号文ブロックと暗号化されていない非暗号化データとを含み、前記暗号化データの暗号文ブロックの整数倍を復号し、前記非暗号化データを平文のまま残す復号部と、前記復号部で復号しない非暗号化データの全部又は一部の情報に基づいて、ブロック暗号のアルゴリズムが復号の際に必要とする平文生成のための秘匿すべき変数を生成する変数生成部とを備える。

　本実施の形態の復号装置は、ブロック暗号に基づく暗号化データを復号する復号装置であって、プロセッサを備え、前記暗号化データは、暗号文ブロックと暗号化されていない非暗号化データとを含み、前記プロセッサは、前記暗号化データの暗号文ブロックの整数倍を復号し、復号しない暗号化データを平文のまま残し、復号しない非暗号化データの全部又は一部の情報に基づいて、ブロック暗号のアルゴリズムが復号の際に必要とする平文生成のための秘匿すべき変数を生成する。

　本実施の形態のコンピュータプログラムは、コンピュータに、暗号文ブロックと暗号化されていない非暗号化データとを含む暗号化データを取得する処理と、取得した暗号化データの暗号文ブロックの整数倍を復号し、復号しない暗号化データを平文のまま残す処理と、復号しない非暗号化データの全部又は一部の情報に基づいて、ブロック暗号のアルゴリズムが復号の際に必要とする平文生成のための秘匿すべき変数を生成する処理とを実行させる。

　本実施の形態の復号方法は、ブロック暗号に基づく暗号化データを復号する復号方法であって、前記暗号化データは、暗号文ブロックと暗号化されていない非暗号化データとを含み、前記暗号化データの暗号文ブロックの整数倍を復号し、復号しない暗号化データを平文のまま残し、復号しない非暗号化データの全部又は一部の情報に基づいて、ブロック暗号のアルゴリズムが復号の際に必要とする平文生成のための秘匿すべき変数を生成する。

　本実施の形態の記録媒体は、コンピュータプログラムを記録するコンピュータでの読み取りが可能な非一時的な記録媒体であって、前記コンピュータプログラムは、コンピュータに、暗号文ブロックと暗号化されていない非暗号化データとを含む暗号化データを取得する処理と、取得した暗号化データの暗号文ブロックの整数倍を復号し、復号しない暗号化データを平文のまま残す処理と、復号しない非暗号化データの全部又は一部の情報に基づいて、ブロック暗号のアルゴリズムが復号の際に必要とする平文生成のための秘匿すべき変数を生成する処理とを実行させる。

　暗号化データは、暗号文ブロックと暗号化されていない非暗号化データとを含む。暗号化データは、例えば、ファイルや通信プロトコルなどの一部が暗号化されたデータを含む。

　復号部は、暗号化データの暗号文ブロックの整数倍を復号し、非暗号化データを平文のまま残す。復号は、ブロック暗号アルゴリズムを使用し、例えば、ＣＢＣ（Cipher Block Chaining）モードなどの一つのモードだけを使用して復号できる。ＣＢＣモードであれば、攻撃者が平文と暗号文の両方を取得して同じ暗号文を繰り返し送信するような再生攻撃に対するセキュリティが向上する。複数のモードを組み合わせる必要もないので、複数のモードを用いる場合に比べて、アルゴリズムが簡単になりプログラムのサイズも小さくなり、ＣＰＵパワーやメモリ容量も少なくすることができ処理労力が軽減する。

　復号部は、暗号化データの全部ではなく、暗号化データの一部（１又は複数の暗号文ブロックで構成される）を復号する。攻撃者が、暗号文（暗号化データ）を入手できたとしても、暗号化データ全体が暗号化されていないので、攻撃者は、暗号化データの暗号処理開始位置を求めなくてはならない。すなわち、攻撃者は、暗号化データのどの部分が暗号化されているのかを知らない限り、暗号文を復号できない。これにより、暗号文を復号する際のセキュリティを向上させることができる。

　変数生成部は、非暗号化データの全部又は一部の情報に基づいて、ブロック暗号のアルゴリズムが復号の際に必要とする平文生成のための秘匿すべき変数を生成する。変数は、例えば、暗号鍵、初期化ベクトルである。非暗号化データは、平文であり、対象データが、例えば、フォーマットが公開されているファイルの場合、非暗号化データとして、ヘッダーの全部又は一部、あるいはフッターなど使用できる。攻撃者は、変数生成に使用する非暗号化データ自身、変数生成のための所定の演算や関数などのアルゴリズムを知らない限り、変数を生成することができないので、事実上、変数が暴露される可能性は極めて低い。

　本実施の形態の復号装置は、復号開始位置パラメータに基づいて復号開始位置を算出する復号開始位置算出部を備え、前記復号部は、前記復号開始位置算出部で算出した復号開始位置から前記暗号文ブロックを復号する。

　復号開始位置算出部は、復号開始位置パラメータに基づいて復号開始位置を算出する。復号開始位置パラメータは、暗号化開始位置パラメータと同一である。復号開始位置パラメータは、ユーザが指定でき、値は数値、単位は％とすることができるが、これに限定されない。復号開始位置算出部は、暗号化データのサイズ（対象データのサイズと同じ）に復号開始位置パラメータを乗算して、復号開始位置を算出することができる。例えば、復号開始位置パラメータを１７（％）とし、暗号化データのサイズを３８４バイトとすると、復号開始位置は６６バイト目となる。また、暗号化データのサイズを７６８バイトとすると、復号開始位置は１３１バイト目となる。このように、同じ復号開始位置パラメータを指定しても、暗号化データのサイズによって復号開始位置が異なるので、仮に攻撃者が復号開始位置パラメータを不正に入手しても、復号開始位置を正確に知ることはできない。

　復号部は、復号開始位置算出部で算出した復号開始位置から暗号文ブロックを復号する。復号開始位置が暴露される可能性は極めて低いので、暗号文を復号する際のセキュリティが向上する。

　本実施の形態の復号装置は、復号終了位置パラメータに基づいて復号終了位置を算出する復号終了位置算出部を備え、前記復号部は、前記復号終了位置算出部で算出した復号終了位置で前記暗号文ブロックの復号を終了する。

　復号終了位置算出部は、復号終了位置パラメータに基づいて復号終了位置を算出する。復号終了位置パラメータは、暗号化終了位置パラメータと同一である。復号終了位置パラメータは、ユーザが指定でき、値は数値、単位は％とすることができるが、これに限定されない。復号終了位置算出部は、暗号化データのサイズに復号終了位置パラメータを乗算して、復号終了位置を算出することができる。例えば、復号終了位置パラメータを９０（％）とし、暗号化データのサイズを３８４バイトとすると、復号終了位置は３４６バイト目となる（３４６バイト目まで復号する）。また、暗号化データのサイズを７６８バイトとすると、復号終了位置は６９２バイト目となる。このように、同じ復号終了位置パラメータを指定しても、暗号化データのサイズによって復号終了位置が異なるので、仮に攻撃者が復号終了位置パラメータを不正に入手しても、復号終了位置を正確に知ることはできない。

　復号部は、復号終了位置算出部で算出した復号終了位置で暗号文ブロックの復号を終了する。復号終了位置が暴露される可能性は極めて低いので、暗号文を復号する際のセキュリティが向上する。

　本実施の形態の復号装置において、前記復号部は、復号するデータサイズがブロック長の整数倍でない場合、前記データサイズがブロック長の整数倍になるように復号開始位置又は復号終了位置を調整して前記暗号文ブロックを復号する。

　例えば、復号開始位置から暗号化データの最後（最後まで復号する場合）までのデータサイズ、復号開始位置から復号終了位置までのデータサイズ、暗号化データの最初（最初から復号する場合）から復号終了位置までのデータサイズが、ブロック長の整数倍でない場合、データサイズがブロック長の整数倍になるように復号開始位置又は復号終了位置を調整して暗号文ブロックを復号する。

　本実施の形態の復号装置は、前記復号部で復号した結果の復号後のデータのサイズが、復号前の暗号化データのサイズと変わらない。

　復号部で復号した結果の復号後のデータのサイズが、復号前の暗号化データのサイズと変わらない。データサイズ（ファイルサイズ）が暗号化によって増加しないので、データ（ファイル）の転送時の通信量や通信時間が増大することを抑制できる。

　本実施の形態の復号装置において、前記非暗号化データは、前記暗号化データ内で連続したデータ又は離散したデータである。

　本実施の形態の復号装置は、前記変数として暗号鍵を生成する暗号鍵生成部を備え、前記復号部は、前記暗号鍵生成部で生成した暗号鍵を用いて前記暗号文ブロックを復号する。

　暗号鍵生成部は、非暗号化データを用いて変数としての暗号鍵を生成する。非暗号化データは、暗号化前の対象データのうち、暗号化装置（暗号化部）で暗号化の対象となっていない部分のデータである。非暗号化データは、平文であり、対象データが、例えば、フォーマットが公開されているファイルの場合、非暗号化データは、ヘッダーの全部又は一部、あるいはフッターなどの暗号化されていないデータである。暗号鍵は暗号化及び復号で使用する共通鍵である。暗号鍵生成は、所定の演算や関数を用いることができ、暗号化の場合と同じ演算や関数を用いる。攻撃者は、暗号鍵生成に使用する非暗号化データ自身、暗号鍵生成のための所定の演算や関数などのアルゴリズムを知らない限り、暗号鍵を生成することができないので、事実上、暗号鍵が暴露される可能性は極めて低い。また、対象データ毎に非暗号化データが異なれば、対象データ毎に異なる暗号鍵を生成することができ、暗号文を復号する際のセキュリティが向上する。

　復号部は、暗号鍵生成部で生成した暗号鍵を用いて暗号文ブロックを復号する。暗号化データのうち、復号する部分（暗号化データの一部）を、暗号文ブロックＥ１、Ｅ２、…、Ｅｎとする。ブロック暗号のモードが、ＣＢＣモードの場合、１つ前の暗号文ブロックを次の暗号文ブロックの復号に使用する。具体的には、暗号文ブロックを暗号鍵で復号し、復号した結果と１つ前の暗号文ブロックのＸＯＲ演算を行って平文ブロックを生成する。このとき、最初の暗号文ブロックには「１つ前の暗号文ブロック」が存在しないので、初期化ベクトルを用いる。復号によって、平文ブロックＢ１、Ｂ２、…、Ｂｎが生成される。

　本実施の形態の復号装置は、前記変数として最初の暗号文ブロックを復号する際に使用する初期化ベクトルを生成する初期化ベクトル生成部を備え、前記復号部は、前記初期化ベクトル生成部で生成した初期化ベクトルを用いて前記最初の暗号文ブロックを復号する。

　初期化ベクトル生成部は、非暗号化データを用いて、最初の暗号文ブロックを復号する際に使用する変数としての初期化ベクトルを生成する。非暗号化データは、暗号化前の対象データのうち、暗号化装置（暗号化部）で暗号化の対象となっていない部分のデータである。非暗号化データは、平文であり、対象データが、例えば、フォーマットが公開されているファイルの場合、非暗号化データは、ヘッダーの全部又は一部、あるいはフッターなどの暗号化されていないデータである。初期化ベクトル生成は、所定の演算や関数を用いることができ、暗号化の場合と同じ演算や関数を用いる。攻撃者は、初期化ベクトル生成に使用する非暗号化データ自身、初期化ベクトル生成のための所定の演算や関数などのアルゴリズムを知らない限り、初期化ベクトルを生成することができないので、事実上、初期化ベクトルが暴露される可能性は極めて低い。また、対象データ毎に非暗号化データが異なれば、対象データ毎に異なる初期化ベクトルを生成することができ、暗号文を復号する際のセキュリティが向上する。

　復号部は、初期化ベクトル生成部で生成した初期化ベクトルを用いて最初の暗号文ブロックを復号する。ブロック暗号のモードをＣＢＣモードとし、最初の暗号文ブロックをＥ１とし、初期化ベクトルをＩＶとすると、復号部は、暗号文ブロックＥ１を暗号鍵で復号し、復号結果と初期化ベクトルＩＶのＸＯＲ演算を行って最初の平文ブロックＢ１を生成することができる。

　本実施の形態の復号装置において、前記変数生成部は、さらに、パラメータ及び識別情報の少なくとも１つ、または両方を用いて、ブロック暗号のアルゴリズムが復号の際に必要とする平文生成のための秘匿すべき変数を生成する。

　パラメータは、ユーザ毎に使用するパラメータであり、例えば、変数生成部を暗号ライブラリの機能として提供する場合、暗号ライブラリの関数内設定文字列とすることができる。また、識別情報は、ユーザ毎に提供する暗号ライブラリに埋め込まれた識別子であり、例えば、暗号化処理を行うユーザを含む特定のグループ、ユーザが所属する部署、あるいは企業などを識別するために固有に割り当てられた識別子とすることができる。

　非暗号化データの情報の他に、パラメータ及び識別情報の少なくとも１つ、または両方を用いて変数を生成することにより、攻撃者は、パラメータ又は識別情報を知らないと、さらに変数を生成することが困難となり、変数が暴露される可能性はさらに低下する。また、識別情報を用いることにより、例えば、ユーザが属する企業が異なれば、たとえ非暗号化データが同一であっても、異なる変数を生成できるので、暗号ライブラリを異なる企業に提供しても、同じ変数が生成されることを防止できる。

　本実施の形態のデータ構造は、復号部を備えるコンピュータに用いられ、ブロック暗号に基づく暗号化データのデータ構造であって、前記暗号化データは、暗号化されていない非暗号化データと暗号化された暗号文ブロックとを含み、前記非暗号化データの全部又は一部の情報に基づいて、ブロック暗号のアルゴリズムが復号の際に必要とする平文生成のための秘匿すべき変数を生成する処理と、生成された変数を用いて、前記復号部が前記暗号文ブロックの整数倍を復号し、復号しない暗号化データを平文のまま残す処理とに用いられる。

　本実施の形態の記録媒体は、コンピュータに用いられる暗号化データを記録するコンピュータでの読み取りが可能な非一時的な記録媒体であって、前記暗号化データは、暗号化されていない非暗号化データと暗号化された暗号文ブロックとを含み、前記非暗号化データの全部又は一部の情報に基づいて、ブロック暗号のアルゴリズムが復号の際に必要とする平文生成のための秘匿すべき変数を生成する処理と、生成された変数を用いて、前記復号部が前記暗号文ブロックの整数倍を復号し、復号しない暗号化データを平文のまま残す処理とに用いられる。

　データ構造は、暗号化データのデータ構造であり、暗号化データは、暗号化されていない非暗号化データと暗号化された暗号文ブロックとを含む。コンピュータは、非暗号化データの全部又は一部の情報に基づいて、ブロック暗号のアルゴリズムが復号の際に必要とする平文生成のための秘匿すべき変数を生成する処理を行い、復号部は、生成された変数を用いて、暗号文ブロックの整数倍を復号し、復号しない暗号化データを平文のまま残す。

　１　通信ネットワーク
　５０　暗号化装置
　５１　制御部
　５２　データ取得部
　５３　暗号鍵生成部
　５４　初期化ベクトル生成部
　５５　記憶部
　５６　データ出力部
　５７　暗号化開始・終了位置算出部
　５８　暗号化部
　７０　復号装置
　７１　制御部
　７２　データ取得部
　７３　暗号鍵生成部
　７４　初期化ベクトル生成部
　７５　記憶部
　７６　データ出力部
　７７　復号開始・終了位置算出部
　７８　復号部
　１００　コンピュータ
　１０１　ＣＰＵ
　１０２　揮発性メモリ
　１０３　通信部
　１０４　操作部
　１０５　不揮発性メモリ
　１０６　記録媒体読取部
　１０７　表示部
　２００　サーバ

Claims

　対象データをブロック暗号により暗号化する暗号化装置であって、
　前記対象データの平文ブロックの整数倍を暗号化し、暗号化しない対象データは平文のまま残す暗号化部と、
　前記暗号化部で暗号化しない非暗号化データの全部又は一部の情報に基づいて、ブロック暗号のアルゴリズムが暗号化の際に必要とする暗号文生成のための秘匿すべき変数を生成する変数生成部と
　を備える暗号化装置。
　暗号化開始位置パラメータに基づいて暗号化開始位置を算出する暗号化開始位置算出部を備え、
　前記暗号化部は、
　前記暗号化開始位置算出部で算出した暗号化開始位置から前記平文ブロックを暗号化する請求項１に記載の暗号化装置。
　暗号化終了位置パラメータに基づいて暗号化終了位置を算出する暗号化終了位置算出部を備え、
　前記暗号化部は、
　前記暗号化終了位置算出部で算出した暗号化終了位置で前記平文ブロックの暗号化を終了する請求項１又は請求項２に記載の暗号化装置。
　前記暗号化部は、
　暗号化するデータサイズがブロック長の整数倍でない場合、前記データサイズがブロック長の整数倍になるように暗号化開始位置又は暗号化終了位置を調整して前記平文ブロックを暗号化する請求項２又は請求項３に記載の暗号化装置。
　前記暗号化部で暗号化した結果の暗号化データのサイズが、元の対象データのサイズと変わらない請求項１から請求項４のいずれか一項に記載の暗号化装置。
　前記非暗号化データは、前記対象データ内で連続したデータ又は離散したデータである請求項１から請求項５のいずれか一項に記載の暗号化装置。
　前記変数として暗号鍵を生成する暗号鍵生成部を備え、
　前記暗号化部は、
　前記暗号鍵生成部で生成した暗号鍵を用いて前記平文ブロックを暗号化する請求項１から請求項６のいずれか一項に記載の暗号化装置。
　前記変数として最初の平文ブロックを暗号化する際に使用する初期化ベクトルを生成する初期化ベクトル生成部を備え、
　前記暗号化部は、
　前記初期化ベクトル生成部で生成した初期化ベクトルを用いて前記最初の平文ブロックを暗号化する請求項１から請求項７のいずれか一項に記載の暗号化装置。
　前記変数生成部は、
　さらに、パラメータ及び識別情報の少なくとも１つ、または両方を用いて、ブロック暗号のアルゴリズムが暗号化の際に必要とする暗号文生成のための秘匿すべき変数を生成することにより、対象データ毎に異なる変数によりブロック暗号が可能となる請求項１から請求項８のいずれか一項に記載の暗号化装置。
　ブロック暗号に基づく暗号化データを復号する復号装置であって、
　前記暗号化データは、暗号文ブロックと暗号化されていない非暗号化データとを含み、
　前記暗号化データの暗号文ブロックの整数倍を復号し、前記非暗号化データを平文のまま残す復号部と、
　前記復号部で復号しない非暗号化データの全部又は一部の情報に基づいて、ブロック暗号のアルゴリズムが復号の際に必要とする平文生成のための秘匿すべき変数を生成する変数生成部と
　を備える復号装置。
　復号開始位置パラメータに基づいて復号開始位置を算出する復号開始位置算出部を備え、
　前記復号部は、
　前記復号開始位置算出部で算出した復号開始位置から前記暗号文ブロックを復号する請求項１０に記載の復号装置。
　復号終了位置パラメータに基づいて復号終了位置を算出する復号終了位置算出部を備え、
　前記復号部は、
　前記復号終了位置算出部で算出した復号終了位置で前記暗号文ブロックの復号を終了する１０又は請求項１１に記載の復号装置。
　前記復号部は、
　復号するデータサイズがブロック長の整数倍でない場合、前記データサイズがブロック長の整数倍になるように復号開始位置又は復号終了位置を調整して前記暗号文ブロックを復号する請求項１１又は請求項１２に記載の復号装置。
　前記復号部で復号した結果の復号後のデータのサイズが、復号前の暗号化データのサイズと変わらない請求項１０から請求項１３のいずれか一項に記載の復号装置。
　前記非暗号化データは、前記暗号化データ内で連続したデータ又は離散したデータである請求項１０から請求項１４のいずれか一項に記載の復号装置。
　前記変数として暗号鍵を生成する暗号鍵生成部を備え、
　前記復号部は、
　前記暗号鍵生成部で生成した暗号鍵を用いて前記暗号文ブロックを復号する請求項１０から請求項１５のいずれか一項に記載の復号装置。
　前記変数として最初の暗号文ブロックを復号する際に使用する初期化ベクトルを生成する初期化ベクトル生成部を備え、
　前記復号部は、
　前記初期化ベクトル生成部で生成した初期化ベクトルを用いて前記最初の暗号文ブロックを復号する請求項１０から請求項１６のいずれか一項に記載の復号装置。
　前記変数生成部は、
　さらに、パラメータ及び識別情報の少なくとも１つ、または両方を用いて、ブロック暗号のアルゴリズムが復号の際に必要とする平文生成のための秘匿すべき変数を生成する請求項１０から請求項１７のいずれか一項に記載の復号装置。
　対象データをブロック暗号により暗号化する暗号化装置であって、
　プロセッサを備え、
　前記プロセッサは、
　前記対象データの平文ブロックの整数倍を暗号化し、暗号化しない対象データは平文のまま残し、
　暗号化しない非暗号化データの全部又は一部の情報に基づいて、ブロック暗号のアルゴリズムが暗号化の際に必要とする暗号文生成のための秘匿すべき変数を生成する暗号化装置。
　ブロック暗号に基づく暗号化データを復号する復号装置であって、
　プロセッサを備え、
　前記暗号化データは、暗号文ブロックと暗号化されていない非暗号化データとを含み、
　前記プロセッサは、
　前記暗号化データの暗号文ブロックの整数倍を復号し、復号しない暗号化データを平文のまま残し、
　復号しない非暗号化データの全部又は一部の情報に基づいて、ブロック暗号のアルゴリズムが復号の際に必要とする平文生成のための秘匿すべき変数を生成する復号装置。
　コンピュータに、
　対象データを取得する処理と、
　取得した対象データの平文ブロックの整数倍を暗号化し、暗号化しない対象データを平文のまま残す処理と、
　暗号化しない非暗号化データの全部又は一部の情報に基づいて、ブロック暗号のアルゴリズムが暗号化の際に必要とする暗号文生成のための秘匿すべき変数を生成する処理と
　を実行させるコンピュータプログラム。
　コンピュータに、
　暗号文ブロックと暗号化されていない非暗号化データとを含む暗号化データを取得する処理と、
　取得した暗号化データの暗号文ブロックの整数倍を復号し、復号しない暗号化データを平文のまま残す処理と、
　復号しない非暗号化データの全部又は一部の情報に基づいて、ブロック暗号のアルゴリズムが復号の際に必要とする平文生成のための秘匿すべき変数を生成する処理と
　を実行させるコンピュータプログラム。
　対象データをブロック暗号により暗号化する暗号化方法であって、
　前記対象データの平文ブロックの整数倍を暗号化し、暗号化しない対象データを平文のまま残し、
　暗号化しない非暗号化データの全部又は一部の情報に基づいて、ブロック暗号のアルゴリズムが暗号化の際に必要とする暗号文生成のための秘匿すべき変数を生成する暗号化方法。
　ブロック暗号に基づく暗号化データを復号する復号方法であって、
　前記暗号化データは、暗号文ブロックと暗号化されていない非暗号化データとを含み、
　前記暗号化データの暗号文ブロックの整数倍を復号し、復号しない暗号化データを平文のまま残し、
　復号しない非暗号化データの全部又は一部の情報に基づいて、ブロック暗号のアルゴリズムが復号の際に必要とする平文生成のための秘匿すべき変数を生成する復号方法。
　復号部を備えるコンピュータに用いられ、ブロック暗号に基づく暗号化データのデータ構造であって、
　前記暗号化データは、
　暗号化されていない非暗号化データと暗号化された暗号文ブロックとを含み、
　前記非暗号化データの全部又は一部の情報に基づいて、ブロック暗号のアルゴリズムが復号の際に必要とする平文生成のための秘匿すべき変数を生成する処理と、
　生成された変数を用いて、前記復号部が前記暗号文ブロックの整数倍を復号し、復号しない暗号化データを平文のまま残す処理と
　に用いられるデータ構造。