WO2021181474A1

WO2021181474A1 - 鍵生成装置

Info

Publication number: WO2021181474A1
Application number: PCT/JP2020/010084
Authority: WO
Inventors: 鈴木　大輔
Original assignee: 三菱電機株式会社
Priority date: 2020-03-09
Filing date: 2020-03-09
Publication date: 2021-09-16
Also published as: JP7034400B2; JPWO2021181474A1

Abstract

鍵生成装置（１）は、鍵生成に使用される第１入力データ（Ｘ）の入力に対して第１ＰＵＦ出力値を出力し、鍵生成の環境を監視する第２入力データ（Ｘｍ）の入力に対して第２ＰＵＦ出力値を出力するＰＵＦ部（２１）と、補助データと、補助データの生成の際に入力された第２入力データに対して出力された第２ＰＵＦ出力値との複数の組を格納する不揮発メモリと、第１ＰＵＦ出力値（Ｗ^＊）と第２ＰＵＦ出力値（Ｗ^＊ｍ）とが共に新たに出力されると、第２ＰＵＦ出力値（Ｗ^＊ｍ）と複数の組の各第２出力値とのハミング距離を計算し、各ハミング距離に基づき、鍵の再生成に使用するべき補助データ（Ｈ）が複数の組の中に存在するかを判定する状態監視部（３０）と、補助データ（Ｈ）が存在する場合、この補助データ（Ｈ）と第１ＰＵＦ出力値（Ｗ^＊）とに基づき鍵Ｋを再生成する鍵再生成部（２０－１）と備える。

Description

鍵生成装置

　本開示は、ＰＵＦ（Ｐｈｙｓｉｃａｌ　Ｕｎｃｌｏｎａｂｌｅ　Ｆｕｎｃｔｉｏｎ）を用いて鍵を生成し、かつ、ＰＵＦを用いて鍵を再生成する鍵生成装置に関する。

　暗号処理で用いる秘密情報あるいは装置を認証するために必要な装置固有の識別子を、ＰＵＦを用いて、長期間にわたり安定的かつ安全に管理する従来技術がある。特許文献１では、鍵生成の失敗頻度を観測し、現在の動作環境で生成される鍵情報によって秘密情報を再包装化し、再包装化された秘密情報を不揮発メモリに格納する技術が開示されている。具体的には、特許文献１では、時間的変動による鍵情報ｋの生成に失敗する頻度を検出し、失敗の頻度が高くなった場合は、新たに現在の動作環境で生成される鍵情報ｋ’によって秘密情報ｍｋを再包装化し、不揮発メモリに格納する。これにより、あらたな鍵情報ｋ’は元の鍵情報ｋに対して時間的変動が小さくなるため、鍵情報ｋの生成に失敗する頻度を再度低くすることができるとしている。

　特許文献１に開示された技術は、時間的変動によって徐々にＰＵＦの出力が変化する状況においては有効である。しかし、ダイナミックに動作環境が変化する状況においては、鍵生成が困難となる可能性がある。例えば、短時間で温度変化が発生するアプリケーションしては航空宇宙用途及び防衛用途のアプリケーションが挙げられる。これらの用途における半導体では、温度動作範囲が、－５５°Ｃから＋１２５°Ｃの範囲が想定されており、一般的な半導体の動作温度範囲よりも広い。また、これらの用途における半導体では、環境温度が急激に変化することが予想される。温度変化以外にも、振動あるいは電波環境のような、設計段階では予測困難な環境変化が、鍵生成に影響を与える可能性がある。

国際公開第２０１２／１６４７２１号パンフレット

　本開示は、鍵生成装置の使用環境に急激な環境変化があって場合においても、安定してＰＵＦによる鍵の再生成の可能な鍵生成装置の提供を目的とする。

　本開示に係る鍵生成装置は、
　鍵生成に使用される第１データが入力され、前記第１データの入力に対して、物理的に複製不能な機能であるＰＵＦを用いて第１出力値を出力し、前記第１データと値が異なると共に前記鍵生成の環境を監視する第２データが入力され、前記第２データの入力に対して、前記ＰＵＦを用いて第２出力値を出力するＰＵＦ部と、
　前記第１データが使用された前記鍵生成の際に生成されたデータであり、鍵の再生成に使用されるデータである補助データと、前記補助データの生成の際に入力された前記第２データの入力に対して出力された前記第２出力値との複数の組を格納している記憶部と、
　前記第１出力値と前記第２出力値とが共に新たに出力されると、新たに出力された前記第２出力値と前記複数の組の各第２出力値との類似度を計算し、各類似度に基づいて、前記鍵の再生成に使用するべき前記補助データが前記複数の組の中に存在するかを判定する判定部と、
　前記鍵の再生成に使用するべき前記補助データが前記複数の組の中に存在すると判定された場合に、判定された前記補助データと、新たに出力された前記第１出力値とに基づいて、前記鍵を再生成する鍵再生成部と、
を備える。

　本開示によれば、鍵生成装置の使用環境に急激な環境変化があって場合においても、安定してＰＵＦによる鍵の再生成の可能な鍵生成装置を提供できる。

実施の形態１の図で、鍵生成装置１のブロック図。実施の形態１の図で、鍵生成部２０による鍵生成処理Ｓ１０の論理構成図。実施の形態１の図で、鍵生成処理Ｓ１０を示すフローチャート。実施の形態１の図で、状態監視部３０による状態監視処理Ｓ２０の論理構成を示す図。実施の形態１の図で、状態監視処理Ｓ２０を示すフローチャート。実施の形態１の図で、鍵生成部２０による鍵再生成処理Ｓ３０の論理構成を示す図。実施の形態１の図で、鍵再生成処理Ｓ３０を示すフローチャート。実施の形態１の図で、再登録処理Ｓ４０を示すフローチャート。実施の形態１の図で、鍵生成装置１のハードウェア構成を示す図。実施の形態１の図で、鍵生成装置１の機能をハードウェアで実現する構成を示す図。実施の形態１の図で、ＰＵＦ部２１の出力の誤り率を定性的に示す図。実施の形態１の図で、ＰＵＦ部２１の出力の誤り率の特性を示す別の図。

　以下、実施の形態について、図を用いて説明する。なお、各図中、同一または相当する部分には、同一符号を付している。実施の形態の説明において、同一または相当する部分については、説明を適宜省略または簡略化する。

＜第１入力データＸ及び第２入力データＸｍ＞
　実施の形態１における第１入力データＸと第２入力データＸｍについて述べる。第１入力データＸは、鍵Ｋを生成するためにＰＵＦ部２１に入力されるデータである。第２入力データＸｍは、鍵Ｋが生成される環境を監視するためにＰＵＦ部２１に入力されるデータである。第１入力データＸの値は、変更されない。例えば、第１入力データＸに８ビットの「１１１１００００」が使用されるとすれば、「１１１１００００」が第１入力データＸとして継続して使用される。第２入力データＸｍについても値は変更されない。例えば、第２入力データＸｍに８ビットの「１０１０１０１０」が使用されるとすれば、「１０１０１０１０」が第２入力データＸｍとして継続して使用される。

＜第１ＰＵＦ出力値Ｗ及び第２ＰＵＦ出力値Ｗｍ＞
　第１入力データＸの入力に対するＰＵＦ部２１の出力を、第１ＰＵＦ出力値Ｗと表記する。第２入力データＸｍの入力に対するＰＵＦ部２１の出力を、第２ＰＵＦ出力値Ｗｍと表記する。また、鍵生成処理Ｓ１０以外の第１ＰＵＦ出力値Ｗ及び第２ＰＵＦ出力値Ｗｍは、第１ＰＵＦ出力値Ｗ^＊及び第２ＰＵＦ出力値Ｗ^＊ｍのように＊を付けて表記する。

　次に実施の形態１に登場する主要な用語を説明する。
＜鍵生成処理Ｓ１０＞
　鍵生成処理Ｓ１０は、第１入力データＸを用いて鍵Ｋを生成する処理である。なお、実施の形態１には鍵生成処理Ｓ１０とは異なる鍵の再生成処理Ｓ３０が登場する。鍵再生成処理Ｓ３０では、補助データＨが使用されるのに対して、鍵生成処理Ｓ１０では補助データＨは使用されない。

＜状態監視処理Ｓ２０＞
　状態監視処理Ｓ２０では、第２入力データＸｍから第２ＰＵＦ出力値Ｗｍが取得される。第２ＰＵＦ出力値Ｗｍは、Ｗｍ１，Ｗｍ２，Ｗｍ３，Ｗｍ４のそれぞれとのハミング距離が計算される。

＜鍵再生成処理Ｓ３０＞
　新たな第１入力データＸに対する第１ＰＵＦ出力値Ｗ^＊と、登録されている補助データＨ１，Ｈ２，Ｈ３，Ｈ４のどれかとから、鍵Ｋが再生成される。鍵再生成処理Ｓ３０は、状態監視処理を含んでいる。

＜再登録処理Ｓ４０＞
　再登録処理Ｓ４０とは、補助データＨと第２ＰＵＦ出力値Ｗｍとの組が再び登録される処理である。再登録処理Ｓ４０の内容は、鍵生成処理Ｓ１０である。

　実施の形態１．
＊＊＊構成の説明＊＊＊
　図１は、実施の形態１の鍵生成装置１のブロック図を示す。図１を参照して鍵生成装置１の機能構成を説明する。鍵生成装置１は、補助データ管理部１０、鍵生成部２０、状態監視部３０を備える。状態監視部３０は判定部である。

＜補助データ管理部１０＞
　補助データ管理部１０は、ＰＵＦ部２１による鍵生成に必要な補助データＨを複数持つ。実施の形態１では、補助データ管理部１０は、Ｈ１、Ｈ２、Ｈ３、Ｈ４の４種類の補助データを保持する。４種類は単なる例示である。補助データ管理部１０の保持する補助データの数は限定されない。補助データを区別する必要のない場合は、補助データをＨｉと表記する。Ｈｉにおいてｉ＝１，２，３，４である。

＜鍵生成部２０＞
　鍵生成部２０は、補助データＨｉを用いて鍵再生成を行う。鍵生成部２０の主要な構成要素として、ＰＵＦ部２１、乱数生成部２２、コード化部２３、デコード部２４、ハッシュ部２５、第１計算部２６、第２計算部２７及び第３計算部２８を備えている。各構成要素の機能は動作の説明で述べる。なお、図９で後述するように、鍵生成部２０は鍵生成回路２０Ａとして、ハードウェアで実現される。ＰＵＦ部２１から第３計算部２８も、図９で後述するように、ぞれぞれ、回路で実現される。

＜状態監視部３０＞
　状態監視部３０は、補助データ管理部１０に格納されているＨ１、Ｈ２、Ｈ３、Ｈ４と、同一の動作環境下でＰＵＦ部２１から出力された第２ＰＵＦ出力値であるＷｍ１、Ｗｍ２、Ｗｍ３、Ｗｍ４を管理する。Ｗｍ１、Ｗｍ２、Ｗｍ３、Ｗｍ４をＷｍｉ（ｉ＝１，２，３，４）と表記する。ＨｉとＷｍｉとは、鍵生成装置１における同じ動作環境下で、かつ、互いに時間的に近いタイミングで生成されたペアーである。
　例えば、
Ｈ１とＷｍ１とは、１００℃の動作環境で、互いに時間的に近いタイミングで生成されたペアーであり、
Ｈ２とＷｍ２とは、２００℃の動作環境で、互いに時間的に近いタイミングで生成されたペアーであり、
Ｈ３とＷｍ３とは、３００℃の動作環境で、互いに時間的に近いタイミングで生成されたペアーであり、
Ｈ４とＷｍ４とは、４００℃の動作環境で、互いに時間的に近いタイミングで生成されたペアーである。
　つまり、補助データＨｉが生成されたタイミングと時間的に近いタイミングで生成された第２ＰＵＦ出力値Ｗｍｉが、Ｗｍｉとして格納される。なお、第２ＰＵＦ出力値Ｗｍｉは鍵生成に用いる第１ＰＵＦ出力値Ｗとは別の系列である。つまり、第２ＰＵＦ出力値Ｗｍｉは、第２入力データＸｍの入力に対するＰＵＦ部２１の出力であり、第１ＰＵＦ出力値Ｗは、第１入力データＸの入力に対するＰＵＦ部２１の出力である。

＊＊＊動作の説明＊＊＊
　次に図１を参照して、補助データ管理部１０、鍵生成部２０及び状態監視部３０の動作の概要を説明する。
　補助データ管理部１０は、状態監視部３０から送信された補助データ選択信号ＳＧ３１の示すインデックス「ｉ」の補助データＨｉを、鍵生成部２０へ送信する。また、補助データＨｉの再登録処理Ｓ４０では、補助データ管理部１０は、補助データ選択信号ＳＧ３１の示すインデックス「ｉ」の補助データＨｉを、鍵生成部２０から送信される再登録のための補助データＨ_Ｎで上書きする。

＜鍵生成部２０＞
　鍵生成部２０では、ハッシュ部２５が鍵Ｋを出力する。ＰＵＦ部２１は、第２ＰＵＦ出力値を状態監視部３０に送信する。鍵生成部２０は、状態監視部３０から再登録信号ＳＧ３２を受信した場合、鍵生成処理Ｓ１０を実行して補助データＨ_Ｎを新たに作成し、補助データＨ_Ｎを補助データ管理部１０に送信する。

＜状態監視部３０＞
　状態監視部３０は、ＰＵＦ部２１から出力される第２ＰＵＦ出力値Ｗ^＊ｍと、既に登録されている第２ＰＵＦ出力値であるＷｍ１、Ｗｍ２、Ｗｍ３、Ｗｍ４とを用いて、状態監視処理Ｓ２０を行う。状態監視処理Ｓ２０の結果から、鍵再生成処理Ｓ３０に伴う状態監視処理Ｓ２０であれば、状態監視部３０は補助データ選択信号ＳＧ３１を生成し、補助データ選択信号ＳＧ３１を補助データ管理部１０に送信する。
　また、状態監視処理Ｓ２０の結果、補助データＨの再登録処理Ｓ４０を行う場合は、状態監視部３０は、再登録信号ＳＧ３２を鍵生成部２０に送信し、かつ、上書きする補助データＨｉのインデックス「ｉ」を指定する補助データ選択信号ＳＧ３１を、補助データ管理部１０に送信する。状態監視部３０は、鍵生成部２０から出力される第２ＰＵＦ出力値Ｗｍによって、補助データ選択信号ＳＧ３１の示すインデックス「ｉ」に対応するＷｍｉを上書きする。

　次に、図１の説明で述べた、鍵生成処理Ｓ１０、状態監視処理Ｓ２０、鍵再生成処理Ｓ３０及び再登録処理Ｓ４０を説明する。

＜鍵生成処理Ｓ１０＞
　図２は、鍵生成部２０による鍵生成処理Ｓ１０の論理構成を示す。
　図３は、鍵生成処理Ｓ１０を示すフローチャートである。なお図３、図５、図７、図８の各フローチャートで括弧書きで示す機能要素は、動作の主体であることを示す。図２及び図３を参照して鍵生成処理Ｓ１０を説明する。

＜ステップＳ１１＞
　ステップＳ１１において、ＰＵＦ部２１に第１入力データＸ及び第２入力データＸｍが入力される。
　ＰＵＦ部２１は、鍵生成に使用される第１データが入力され、第１入力データＸの入力に対して、物理的に複製不能な機能であるＰＵＦを用いて第１出力値を出力する。第１入力データＸは第１データであり、第１ＰＵＦ出力値は第１出力値である。またＰＵＦ部２１は、第１入力データと値が異なると共に鍵生成の環境を監視する第２入力データＸｍが入力され、第２入力データＸｍの入力に対して、ＰＵＦを用いて第２ＰＵＦ出力値を出力する。
　具体的には以下のようである。ＰＵＦ部２１は、「事前に設定されたｍビットの入力データ」に対して、ｎビットの出力値を返す回路である。ＰＵＦ部２１は、第１入力データＸに対して第１ＰＵＦ出力値Ｗを返えし、第２入力データＸｍに対して第２ＰＵＦ出力値Ｗｍを返えす。ＰＵＦ部２１は、同一の入力データであっても、必ず同じ出力値を返すとは限らない。しかし、環境条件が似ている場合には、１回目に入力された入力データＤ１に対する出力値Ｖ１と、２回目に入力された１回目と同じ入力データＤ１に対する出力値Ｖ２とのハミング距離ＨＤ（Ｖ１，Ｖ２）は、ある一定値ｔ未満となることが保証される。
すなわち、
ＨＤ（Ｖ１，Ｖ２）＜ｔ
である。なお入力データＤ１は、第１入力データＸあるいは第２入力データＸｍである。
似ている環境条件とは、例えばＰＵＦ部２１が出力値Ｖ１を出力する環境温度は４０度であり、ＰＵＦ部２１が出力値Ｖ２を出力する環境温度は４２度のような場合である。
　ステップＳ１１では、ＰＵＦ部２１は、第１入力データＸの入力に対して第１ＰＵＦ出力値Ｗを出力し、第２入力データＸｍの入力に対して第２ＰＵＦ出力値Ｗｍを出力する。

＜ステップＳ１２＞
　ステップＳ１２において、ＰＵＦ部２１は、第２ＰＵＦ出力値Ｗｍを状態監視部３０へ送信する。

＜ステップＳ１３＞
　ステップＳ１３において、状態監視部３０は、ＰＵＦ部２１から受信した第２ＰＵＦ出力値Ｗｍを後述する不揮発メモリ１２０に登録する。状態監視部３０がＰＵＦ部２１から受信した第２ＰＵＦ出力値Ｗｍは第２ＰＵＦ出力値Ｗｍ１とする。また、不揮発メモリ１２０には、第２ＰＵＦ出力値Ｗｍ１のみが登録されているとする。

＜ステップＳ１４＞
　ステップＳ１４において、ハッシュ部２５は、第１ＰＵＦ出力値Ｗから鍵Ｋを生成する。ハッシュ部２５は、ｎビットの第１ＰＵＦ出力値ＷをＬビットに変換する汎用ハッシュ回路である。ハッシュ部２５の出力が、鍵Ｋとして使用される。

＜ステップＳ１５＞
　ステップＳ１５において、乱数生成部２２は、ｋビットの乱数Ｒを出力する。

＜ステップＳ１６＞
　ステップＳ１６において、コード化部２３は、ｋビットの乱数Ｒを符号化して、ｎビットの符号語Ｃを出力する。コード化部２３は、線形符号回路である。

　＜ステップＳ１７＞
　ステップＳ１７において、第１計算部２６は、第１ＰＵＦ出力値Ｗと、符号語Ｃとの排他的論理和を計算し、計算結果を補助データＨｉとして出力する。補助データＨｉは、補助データＨ１とする。

＜ステップＳ１８＞
　ステップＳ１８において、第１計算部２６は、補助データＨ１を補助データ管理部１０へ送信する。

＜ステップＳ１９＞
　ステップＳ１９において、補助データ管理部１０は受信した補助データＨ１を不揮発メモリ１２０に登録する。なお、ステップＳ１３で登録される第２ＰＵＦ出力値Ｗｍ１と、このステップＳ１９で登録される補助データＨ１とは、インデックス「１」によって、対応付けられている。
　つまり、不揮発メモリ１２０に登録される補助データＨｉと第２ＰＵＦ出力値Ｗｍｉとの組は、鍵生成部２０によって対応付けられている。例えば、補助データＨｉと第２ＰＵＦ出力値Ｗｍｉとは、以下のように対応付けられる。ＰＵＦ部２１は第２ＰＵＦ出力値Ｗｍにインデックス「ｉ」を付加する。また、図２において、ＰＵＦ部２１は、第１ＰＵＦ出力値Ｗに、第２ＰＵＦ出力値Ｗｍのインデックス「ｉ」の情報を付加する。これにより、第１計算部２６は、入力される第１ＰＵＦ出力値Ｗについてインデックス「ｉ」を特定する。第１計算部２６は、インデックス「ｉ」が特定された第１ＰＵＦ出力値Ｗから生成される補助データＨに、インデックス「ｉ」を付加することができる。

　ステップＳ１９の終了時点で、補助データ管理部１０には補助データＨ１のみが登録されており、状態監視部３０には第２ＰＵＦ出力値Ｗｍ１のみが登録されている。つまり、ステップＳ１９の終了時点で、補助データＨ１と第２ＰＵＦ出力値Ｗｍ１との組のみが登録されている。上記のステップＳ１１からステップＳ１９が繰り返されることで、補助データＨ２と第２ＰＵＦ出力値Ｗｍ２との組、補助データＨ３と第２ＰＵＦ出力値Ｗｍ３との組、及び補助データＨ４と第２ＰＵＦ出力値Ｗｍ４との組が登録されて、図１に示す状態になる。

＜状態監視処理Ｓ２０＞
　図４は、状態監視部３０による状態監視処理Ｓ２０の論理構成を示す。
　図５は、状態監視処理Ｓ２０を示すフローチャートである。図４及び図５を参照して状態監視処理Ｓ２０を説明する。

＜ステップＳ２１＞
　ステップＳ２１において、ＰＵＦ部２１に第２入力データＸｍが入力される。

＜ステップＳ２２＞
　ステップＳ２２において、ＰＵＦ部２１は、第２入力データＸｍに対する第２ＰＵＦ出力値Ｗ^＊ｍを状態監視部３０へ送信する。

＜ステップＳ２３＞
　ステップＳ２３において、状態監視部３０は、第２ＰＵＦ出力値Ｗ^＊ｍとＷｍ１とのハミング距離，第２ＰＵＦ出力値Ｗ^＊ｍとＷｍ２とのハミング距離，第２ＰＵＦ出力値Ｗ^＊ｍとＷｍ３とのハミング距離，及び、第２ＰＵＦ出力値Ｗ^＊ｍとＷｍ３とのハミング距離を計算する。
　図４に示すように、状態監視部３０は、第２ＰＵＦ出力値Ｗ^＊ｍが新たに出力されると、新たに出力された第２ＰＵＦ出力値Ｗ^＊ｍと、不揮発メモリ１２０に登録されている複数の組［Ｈｉ，Ｗｍｉ］の各第２ＰＵＦ出力値Ｗｍｉとの類似度であるハミング距離を計算する。状態監視部３０は、各ハミング距離が許容限度として設定されている閾値ｔｈを満足するかを判定し、各ハミング距離が閾値ｔｈを満たす場合、ステップＳ２５で複数の組［Ｈｉ，Ｗｍｉ］のいずれの組も更新せず維持する。類似度は、値が小さいほど似ていることを示す。

＜ステップＳ２４＞
　ステップＳ２４において、状態監視部３０は、計算したハミング距離が、閾値ｔｈを満たすＷｍｉ（ｉ＝１，２，３，４）が存在するか判定する。閾値ｔｈを満たすＷｍｉが、１以上ある場合、処理はステップＳ２５に進む。閾値ｔｈを満たすＷｍｉが一つもない場合、処理はステップＳ２６に進む。

＜ステップＳ２５＞
　ステップＳ２５において、状態監視部３０は、状態監視処理Ｓ２０を終了する。また、鍵再生成処理Ｓ３０を伴う場合、鍵Ｋが再生成される。

＜鍵再生成処理Ｓ３０＞
　図６は、鍵生成部２０による鍵再生成処理Ｓ３０の論理構成を示す。図６において、第２計算部２７、デコード部２４、第３計算部２８、ハッシュ部２５は鍵再生部２０－１を構成する。
　図７は、鍵再生成処理Ｓ３０を示すフローチャートである。
鍵再生成処理Ｓ３０は状態監視処理Ｓ２０を含んでいる。図７においてステップＳ２１，Ｓ２２，Ｓ２３，Ｓ２４，Ｓ２５，Ｓ２６は状態監視処理Ｓ２０のステップである。ステップＳ２４－１、及びステップＳ３１からステップＳ３６は、鍵再生成処理Ｓ３０に特有のステップである。
図６及び図７を参照して状態監視処理Ｓ２０を説明する。

　図６に示す鍵再生部２０－１は、鍵Ｋの再生成に使用するべき補助データＨｉが複数の組［Ｈｉ，Ｗｍｉ］の中に存在すると状態監視部３０によって判定された場合に、判定された補助データＨｉと、新たに出力された第１ＰＵＦ出力値Ｗ^＊とに基づいて、鍵Ｋを再生成する。具体的には以下のようである。

　ステップＳ２１からステップＳ２６は状態監視処理Ｓ２０で説明したので、これらの説明は省略する。

＜ステップＳ２４－１＞
　ステップＳ２４－１において、ステップＳ２１で第１入力データＸが入力されたかどうかを判定する。第１入力データＸが入力されたかどうかの情報は、鍵生成部２０から状態監視部３０に送信されるとする。第１入力データＸが入力されていない場合、処理はステップＳ２５に進む。第１入力データＸが入力されている場合、処理はステップＳ３１に進む。

＜ステップＳ３１＞
　ステップＳ３１において、状態監視部３０は、ステップＳ２３で計算したハミング距離の中で最も小さいハミング距離のＷｍｉのインデックス「ｉ」を、補助データ選択信号ＳＧ３１として、補助データ管理部１０へ送信する。この例ではｉ＝４とする。

＜ステップＳ３２＞
　ステップＳ３２において、補助データ管理部１０は、補助データＨ４を鍵生成部２０へ送信する。

＜ステップＳ３３＞
　ステップＳ３３において、第２計算部２７は、補助データＨ４と、ステップＳ２１で入力された第１入力データＸの第１ＰＵＦ出力値Ｗ^＊との排他的論理和を計算する。排他的論理和の計算結果は、デコード部２４に入力される。

＜ステップＳ３４＞
　ステップＳ３４において、デコード部２４は、入力データを符号語Ｃに訂正して出力する。デコード部２４は、ＨＤ（Ｖ１，Ｖ２）＜ｔであれば誤り訂正可能なアルゴリズムを持つ回路である。デコード部２４は、誤り訂正可能な場合、入力データを符号語Ｃに訂正して出力する。第２計算部２７によって計算される、補助データＨ４と第１ＰＵＦ出力値Ｗ^＊との排他的論理和は以下のようである。
以下では、［＋］は排他的論理和を示す記号とする。
Ｈ４＝Ｗ［＋］Ｃ
である。よって、第１ＰＵＦ出力値Ｗ^＊と補助データＨ４との排他的論理和は、
Ｗ^＊［＋］Ｈ４＝Ｗ^＊［＋］Ｗ［＋］Ｃ
である。
Ｗ^＊［＋］Ｗ＝Ｅとおく。
Ｅを誤りベクトルとすれば
Ｄｅｃｏｄｅ（Ｗ^＊［＋］Ｈ４）
＝Ｄｅｃｏｄｅ（Ｗ^＊［＋］Ｗ［＋］Ｃ）
＝Ｄｅｃｏｄｅ（Ｅ［＋］Ｃ）＝Ｃ
となり、Ｅ［＋］Ｃは、Ｃに訂正される。
よって、図６のデコード部２４の出力はＣとなる。

＜ステップＳ３５＞
　ステップＳ３５において、第３計算部２８は、補助データＨ４と、デコード部２４から出力されたＣとの排他的論理和を計算する。
第３計算部２８は、
Ｈ４［＋］Ｃ＝Ｗ［＋］Ｃ［＋］Ｃ＝Ｗ
を計算して、出力する。

＜ステップＳ３６＞
　ステップＳ３６３において、ハッシュ部２５は、第３計算部２８から出力されたＷをハッシュ関数に入力し、鍵生成時と同一の鍵Ｋを再生成する。

＜再登録処理Ｓ４０＞
　図８は、再登録処理Ｓ４０を示すフローチャートである。図８を参照して再登録処理Ｓ４０を説明する。再登録処理Ｓ４０は、実質的には鍵生成処理Ｓ１０である。状態監視処理Ｓ２０において、閾値ｔｈを満足するＷｍｉが存在しない場合に、再登録処理Ｓ４０が実行される。具体的には処理が状態監視処理Ｓ２０のステップＳ２６に進む場合に、再登録処理Ｓ４０が実行される。

　なおステップＳ２３において、図４及び図６に示すように、状態監視部３０は、第１ＰＵＦ出力値Ｗ^＊と第２ＰＵＦ出力値Ｗ^＊ｍとが共に新たに出力されると、新たに出力された第２ＰＵＦ出力値Ｗ^＊ｍと複数の組の各第２出力値Ｗｍｉとの類似度であるハミング距離を計算する。状態監視部３０は、ステップＳ２４において、各類似度に基づいて、つまり各ハミング距離に基づいて、鍵Ｋの再生成に使用するべき補助データＨｉが複数の組［Ｈｉ，Ｗｍｉ］の中に存在するかを判定する。

＜ステップＳ２６＞
　ステップＳ２６において、再登録処理Ｓ４０が開始される。図８のステップＳ２６は図５のステップＳ２６である。
　状態監視部３０は、計算した各ハミング距離の少なくとも一つが閾値ｔｈを満足しない場合、不揮発メモリ１２０に格納されている複数の組［Ｈｉ，Ｗｍｉ］のうち閾値ｔｈを満足しない第２ＰＵ出力値Ｗｍｉを有する組の書き換えを要求する書き換え要求信号を出力する。
書き換え要求信号には、再登録信号ＳＧ２及び再登録信号ＳＧ２の出力に伴って出力される補助データ選択信号ＳＧ３１が相当する。なお、以下に説明する例では、状態監視部３０は、計算した各ハミング距離の全部が閾値ｔｈを満足しない場合に、不揮発メモリ１２０に格納されている複数の組［Ｈｉ，Ｗｍｉ］のハミング距離の最も小さい第２ＰＵＦ出力値Ｗｍｉを有する組の書き換えを要求する書き換え要求信号を出力する。
　ＰＵＦ部２１は、再登録処理Ｓ４０のステップＳ１１において、書き換え要求信号の出力を契機として第１入力データＸと第２入力データＸｍとが入力される。ＰＵＦ部２１は、第１入力データＸと第２入力データＸｍとの入力に対して、第１ＰＵＦ出力値Ｗと第２ＰＵＦ出力値Ｗｍとを出力する。
　図２に示す乱数生成部２２、コード化部２３及び第１計算部２６は、補助データ生成部２０－２を構成する。図２に示すように、補助データ生成部２０－２は、書き換え要求信号の出力を契機として出力された第１ＰＵＦ出力値Ｗに基づいて、補助データＨを新たに生成する。
　状態監視部３０は、新たに生成された補助データと、書き換え要求信号の出力を契機として出力された第２ＰＵＦ出力値Ｗｍとの組で、複数の組［Ｈｉ，Ｗｍｉ］のうち閾値ｔｈを満足しない第２ＰＵＦ出力値Ｗｍｉを含むいずれかの組を書き換える。具体的には以下のようである。

　ステップＳ２６では、状態監視部３０は、再登録信号ＳＧ３２を鍵生成部２０に送信する。また、状態監視部３０は、上書きする補助データＨｉのインデックス「ｉ」を指定する補助データ選択信号ＳＧ３１を、補助データ管理部１０に送信する。ステップＳ２６に進む場合は、ステップＳ２４の判定においてＷｍ１からＷｍ４の全部のハミング距離が、閾値ｔｈを満たさない。状態監視部３０は、第２ＰＵＦ出力値Ｗ^＊ｍとのハミング距離が最も小さいＷｍｉを更新する。つまり、ハミング距離が最も小さいＷｍｉと、Ｗｍｉに対応する補助データＨｉとの組を更新する。この例ではＷｍ３が最もハミング距離が小さいとする。その場合、状態監視部３０は、鍵生成部２０へ再登録信号ＳＧ３２を送信する。また、状態監視部３０は、インデックス「３」を示す補助データ選択信号ＳＧ３１を補助データ管理部１０へ送信する。状態監視部３０は、この補助データ選択信号ＳＧ３１に、再登録用の補助データ選択信号ＳＧ３１であることを示す情報を付加する。

　ステップＳ２６以降は、鍵生成処理Ｓ１０が実行される。鍵生成部２０では、再登録信号ＳＧ３２の受信を契機として、ステップＳ１１において、ＰＵＦ部２１に第１入力データＸと、第２入力データＸｍとが入力される。ステップＳ１１からステップＳ１９は鍵生成処理Ｓ１０である。鍵生成処理Ｓ１０のステップＳ１３のＷｍと、ステップＳ１９の補助データＨとの組が、Ｗｍ３とＨ３との組に上書きされる。

　図９は、鍵生成装置１のハードウェア構成を示す。図９を参照して鍵生成装置１のハードウェア構成を説明する。鍵生成装置１は、暗号化処理ＥＮＣ及び復号処理ＤＥＣで用いる鍵Ｋを生成及び再生成する装置として使用される。

　鍵生成装置１は、プロセッサ１１０を備える。鍵生成装置１は、プロセッサ１１０の他に、不揮発メモリ１２０、揮発メモリ１３０、入出力回路１４０、及び鍵生成回路２０Ａといった、他のハードウェアを備える。プロセッサ１１０は、ローカルバス１５０を介して、他のハードウェアと接続され、他のハードウェアを制御する。

　図１に示す補助データ管理部１０は、プログラム、プロセッサ１１０及び不揮発メモリ１２０で実現される。鍵生成部２０は鍵生成回路２０Ａによって実現される。鍵生成回路２０Ａは、ＰＵＦ回路２１Ａ、乱数生成回路２２Ａ、コード化回路２３Ａ、デコード回路２４Ａ、ハッシュ回路２５Ａ、第１計算回路２６Ａ、第２計算回路２７Ａ及び第３計算回路２８Ａを備えている。ＰＵＦ部２１、乱数生成部２２、コード化部２３、デコード部２４、ハッシュ部２５、第１計算部２６、第２計算部２７、及び第３計算部２８は、ＰＵＦ回路２１Ａ、乱数生成回路２２Ａ、コード化回路２３Ａ、デコード回路２４Ａ、ハッシュ回路２５Ａ、第１計算回路２６Ａ、第２計算回路２７Ａ及び第３計算回路２８Ａで実現される。状態監視部３０は、プログラム及びプロセッサ１１０で実現される。補助データ管理部１０を実現するプログラム及び状態監視部３０を実現するプログラムは、不揮発メモリ１２０に格納されている。

　プロセッサ１１０は、演算処理を行うＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）である。プロセッサ１１０の具体例は、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、ＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）、ＧＰＵ（Ｇｒａｐｈｉｃｓ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。

　不揮発メモリ１２０の具体例は、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）である。また、不揮発メモリ１２０は、ＳＤ（登録商標）（Ｓｅｃｕｒｅ　Ｄｉｇｉｔａｌ）メモリカード、ＮＡＮＤフラッシュといった可搬記録媒体であってもよい。不揮発メモリ１２０は、補助データＨｉと第２ＰＵＦ出力値Ｗｍｉとの組を格納する。
　不揮発メモリ１２０は記憶部である。図９に示すように、不揮発メモリ１２０は、第１入力データＸが使用された鍵生成の際に生成されたデータであり、鍵の再生成に使用されるデータである補助データＨｉと、補助データＨの生成の際に入力された第２入力データＸｍの入力に対してＰＵＦ部２１から出力された第２出ＰＵＦ出力値Ｗｍｉとの複数の組を格納している。図９では、Ｈ１とＷｍ１、Ｈ２とＷｍ２、Ｈ３とＷｍ３、Ｈ４とＷｍ４との、４組が不揮発メモリ１２０に格納されている。

　揮発メモリ１３０の具体例は、ＳＲＡＭ（Ｓｔａｔｉｃ　Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）、ＤＲＡＭ（Ｄｙｎａｍｉｃ　Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）である。

　入出力回路１４０は、外部ポート１４１を介して、外部の装置とデータを入出する回路である。

　図９では、補助データ管理部１０の有する制御機能及び状態監視部３０の機能は、プログラムをプロセッサ１１０が実行することで実現する。しかし、補助データ管理部１０の有する制御機能及び状態監視部３０の機能は、ハードウェアで実現してもよい。

　図１０は、鍵生成装置１の機能をハードウェアで実現する構成を示す図である。

＜ハードウェア構成の補足＞
　図１０の電子回路９０は、鍵生成装置１の、補助データ管理部１０、鍵生成部２０、状態監視部３０、不揮発メモリ１２０、揮発メモリ１３０、入出力回路１４０の機能を実現する専用の電子回路である。電子回路９０は、信号線９１に接続している。電子回路９０は、具体的には、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックＩＣ、ＧＡ、ＡＳＩＣ、または、ＦＰＧＡである。ＧＡは、Ｇａｔｅ　Ａｒｒａｙの略語である。ＡＳＩＣは、Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔの略語である。ＦＰＧＡは、Ｆｉｅｌｄ－Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙの略語である。鍵生成装置１の構成要素の機能は、１つの電子回路で実現されてもよいし、複数の電子回路に分散して実現されてもよい。また、図９で述べたように、鍵生成装置１の構成要素の一部の機能が電子回路で実現され、残りの機能がソフトウェアで実現されてもよい。

　プロセッサ１１０と電子回路９０の各々は、プロセッシングサーキットリとも呼ばれる。鍵生成装置１において、助データ管理部１０、鍵生成部２０及び状態監視部３０の機能がプロセッシングサーキットリにより実現されてもよい。あるいは、補助データ管理部１０、鍵生成部２０、状態監視部３０、不揮発メモリ１２０、揮発メモリ１３０及び入出力回路１４０の機能がプロセッシングサーキットリにより実現されてもよい。

＊＊＊実施の形態１の効果＊＊＊
　ＰＵＦ部２１の出力の誤り率は、鍵生成処理Ｓ１０と鍵再生成処理Ｓ３０との環境差によって変化する。鍵再生成処理Ｓ４０が鍵生成処理Ｓ１０に近い環境で実行されれば、ＰＵＦ部２１の出力の誤り率は小さい。一方環境差が大きければ誤り率は増大する。
　図１１は、ＰＵＦ部２１の出力の誤り率を定性的に示す。図１１では横軸は温度変化のような環境変化を示し、縦軸はＰＵＦ部２１の出力の誤り率示す。この場合、誤り率は、図１１のようにＶ字特性を持つ。
　図１２は、鍵生成装置１におけるＰＵＦ部２１の出力の誤り率の特性を示す。鍵生成装置１のように、複数の補助データＨを用いて鍵生成を行った場合、各補助データＨｉに対応する複数のＶ字特性が、左右にシフトして合成した特性となる。図１２のＷｍ１、Ｗｍ２、Ｗｍ３及びＷｍ４のＶ次グラフは、それぞれＨ１、Ｈ２、Ｈ３及びＨ４に対応する。
　鍵生成装置１では、図１２において、どのＶ字グラフで再生成を行うかは、状態監視の結果、最もハミング距離が小さいＷｍｉのＶ字上で行うことになる。
よって、鍵生成装置１によればハミング距離による判定によって、現在の動作環境と最も近い鍵再生成の環境が、探索できる。

　鍵生成装置１によれば、状態監視のための補助データＨと第２ＰＵＦ出力値Ｗｍとの組の再登録処理Ｓ４０によって、鍵生成装置１の運用期間中に、図１２に示すＶ字を、動的にシフトすることができる。
　つまり、鍵生成装置１の出荷段階で決定されたＶ字特性から、逐次現在の運用に適合したＶ字特性に更新することができる。例えば、Ｗｍ１からＷｍ４が登録されている場合に、鍵生成装置１は、新たに補助データＨ５と第２ＰＵＦ出力値Ｗｍ５との組で、補助データＨ１と第２ＰＵＦ出力値Ｗｍ１との組を更新する。これにより、鍵生成装置１は、現在の環境の補助データＨ５を用いた鍵再生成が可能となる。

　Ｓ１０　鍵生成処理、Ｓ２０　状態監視処理、Ｓ３０　鍵再生成処理、Ｓ４０　再登録処理、ＳＧ３１　補助データ選択信号、ＳＧ３２　再登録信号、Ｗ，Ｗ^＊　第１ＰＵＦ出力値、Ｗｍ，Ｗ^＊ｍ　第２ＰＵＦ出力値、Ｘ　第１入力データ、Ｘｍ　第２入力データ、１　鍵生成装置、１０　補助データ管理部、２０　鍵生成部、２０－１　鍵再生成部、２０－２　補助データ生成部、２１　ＰＵＦ部、２２　乱数生成部、２３　コード化部、２４　デコード部、２５　ハッシュ部、２６　第１計算部、２７　第２計算部、２８　第３計算部、２０Ａ　鍵生成回路、２１Ａ　ＰＵＦ回路、２２Ａ　乱数生成回路、２３Ａ　コード化回路、２４Ａ　デコード回路、２５Ａ　ハッシュ回路、２６Ａ　第１計算回路、２７Ａ　第２計算回路、２８Ａ　第３計算回路、３０　状態監視部、１１０　プロセッサ、１２０　不揮発メモリ、１３０　揮発メモリ、１４０　入出力回路、１４１　外部ポート、１５０　ローカルバス。

Claims

　鍵生成に使用される第１データが入力され、前記第１データの入力に対して、物理的に複製不能な機能であるＰＵＦを用いて第１出力値を出力し、前記第１データと値が異なると共に前記鍵生成の環境を監視する第２データが入力され、前記第２データの入力に対して、前記ＰＵＦを用いて第２出力値を出力するＰＵＦ部と、
　前記第１データが使用された前記鍵生成の際に生成されたデータであり、鍵の再生成に使用されるデータである補助データと、前記補助データの生成の際に入力された前記第２データの入力に対して出力された前記第２出力値との複数の組を格納している記憶部と、
　前記第１出力値と前記第２出力値とが共に新たに出力されると、新たに出力された前記第２出力値と前記複数の組の各第２出力値との類似度を計算し、各類似度に基づいて、前記鍵の再生成に使用するべき前記補助データが前記複数の組の中に存在するかを判定する判定部と、
　前記鍵の再生成に使用するべき前記補助データが前記複数の組の中に存在すると判定された場合に、判定された前記補助データと、新たに出力された前記第１出力値とに基づいて、前記鍵を再生成する鍵再生成部と、
を備える鍵生成装置。
　前記判定部は、
　前記第２出力値が新たに出力されると、新たに出力された前記第２出力値と前記複数の組の各第２出力値との類似度を計算し、各類似度が許容限度として設定されている閾値を満足するかを判定し、各類似度が前記閾値を満たす場合、前記複数の組を維持する請求項１に記載の鍵生成装置。
　前記判定部は、
　計算した各類似度の少なくとも一つが前記閾値を満足しない場合、前記複数の組のうち前記閾値を満足しない前記第２出力値を有する組の書き換えを要求する書き換え要求信号を出力し、
　前記ＰＵＦ部は、
　前記書き換え要求信号の出力を契機として前記第１データと前記第２データとが入力され、前記第１データと前記第２データとの入力に対して、前記第１出力値と前記第２出力値とを出力し、
　前記鍵生成装置は、さらに、
　前記書き換え要求信号の出力を契機として出力された前記第１出力値に基づいて、補助データを新たに生成する補助データ生成部を備え、
　前記判定部は、
　新たに生成された前記補助データと、前記書き換え要求信号の出力を契機として出力された前記第２出力値との組で、前記複数の組のうち前記閾値を満足しない前記第２出力値を含むいずれかの組を書き換える請求項２に記載の鍵生成装置。
　前記類似度は、値が小さいほど似ていることを示し、
　前記判定部は、
　前記類似度の最も小さい前記第２出力値を有する前記組を書き換える請求項３に記載の鍵生成装置。
　前記判定部は、
　前記類似度として、ハミング距離を計算する請求項１から請求項４のいずれか１項に記載の鍵生成装置。