WO2022215249A1 - 暗号化装置、復号装置、暗号化方法、暗号化プログラム、復号方法及び復号プログラム - Google Patents

Abstract

暗号化装置は、平文Ｍを分割して値Ｍ［１］，．．．，値Ｍ［ｍ］を生成する。暗号化装置は、ｉ＝１，．．．，ｍの各整数ｉについて昇順に、値Ｔ［ｉ－１］を鍵として値Ｂ［ｉ－１］をブロック暗号によって暗号化してｎビットの値Ｂ［ｉ］を生成し、値Ｂ［ｉ］と、値Ｍ［ｉ］とから値Ｃ［ｉ］を生成し、値Ｔ［ｉ－１］を置換関数Ｐで変換した値Ｐ（Ｔ［ｉ－１］）と、値Ｂ［ｉ］を置換関数Ｆで変換した値Ｆ（Ｂ［ｉ］）と、値Ｃ［ｉ］とからｎビットの値Ｔ［ｉ］を生成する。暗号化装置は、ｉ＝１，．．．，ｍについての値Ｃ［ｉ］を結合して暗号文Ｃを生成する。暗号化装置は、値Ｈ［ｍ］と値Ｂ［ｍ］とから暗号文Ｃの改ざんを検知するための認証子Ｔａｇを生成する。

Description

暗号化装置、復号装置、暗号化方法、暗号化プログラム、復号方法及び復号プログラム

　本開示は、ブロック暗号を用いた認証暗号に関する。

　認証暗号アルゴリズムは、秘匿機能と改ざん検知機能とを同時に併せ持つ暗号アルゴリズムである。認証暗号アルゴリズムを用いると、２者間で平文を秘匿した上で通信できるとともに、通信路で送信したメッセージが改ざんされているか否かを受信者が確認できる。

　認証暗号アルゴリズムは、暗号化関数Ｅｎｃと復号関数Ｄｅｃとの２つのアルゴリズムを備える。
　暗号化関数Ｅｎｃは、秘密鍵Ｋと、ナンスＮと、公開データＡと、平文Ｍとを入力とし、暗号文Ｃと改ざん検知用の認証子Ｔａｇとを出力する関数である。なお、ナンスＮは、暗号化毎に異なる値が用いられ、秘密鍵Ｋを変更しない限り同じ値は用いられない。
　復号関数Ｄｅｃは、秘密鍵Ｋと、ナンスＮと、公開データＡと、暗号文Ｃと、改ざん検知用の認証子Ｔａｇとを入力とし、入力値が改ざんされていない場合、平文Ｍを出力し、改ざんされている場合、偽造されていることを示す値を出力する。以降、偽造されていることを示す値をｒｅｊｅｃｔと書く。

　送信者Ａｌｉｃｅと受信者Ｂｏｂとが認証暗号アルゴリズムを用いた通信を行うとする。ＡｌｉｃｅとＢｏｂとは、事前に秘密鍵Ｋを共有しておく。
　送信者Ａｌｉｃｅは、秘密鍵Ｋと、ナンスＮと、公開データＡと、平文Ｍとを入力として、暗号化関数Ｅｎｃを計算することにより、暗号文Ｃと改ざん検知用の認証子Ｔａｇとを生成する。送信者Ａｌｉｃｅは、ナンスＮと、公開データＡと、暗号文Ｃと、改ざん検知用の認証子Ｔａｇとを受信者Ｂｏｂに送信する。
　受信者Ｂｏｂは、秘密鍵Ｋと、ナンスＮと、公開データＡと、暗号文Ｃと、改ざん検知用の認証子Ｔａｇとを入力として、復号関数Ｄｅｃを計算することにより、改ざん検知されていないことを判定し、改ざんされていない場合は平文Ｍを生成する。
　なお、公開データＡは公開してもよい値である。また、送信者Ａｌｉｃｅは、暗号化毎にナンスＮを別の値に設定し、同じ値は使用しない。

　認証暗号アルゴリズムの安全性には秘匿性及び完全性がある。秘匿性及び完全性の定義は、非特許文献１に記載されている。
　秘匿性は、暗号文から平文が漏れないことを定義した安全性である。秘匿性の安全性ゲームでは、攻撃者が、認証暗号アルゴリズムの暗号化関数Ｅｎｃと、乱数を出力するオラクルとのどちらか一方にアクセスし、どちらにアクセスしているかを識別する。攻撃者が識別する確率を識別確率と呼ぶ。識別確率が低いほど秘匿性の安全性が高い。
　完全性は、公開データ又は暗号文が改ざんできないことを定義した安全性である。完全性の安全性ゲームでは、攻撃者が認証暗号アルゴリズムの暗号化関数Ｅｎｃと復号関数Ｄｅｃとにアクセスし、復号関数Ｄｅｃに偽造した公開データと暗号文と認証子とを入力し、改ざんチェックに合格することを目指す。改ざんチェックに合格する確率を偽造確率と呼ぶ。偽造確率が低いほど完全性の安全性が高い。

　認証暗号アルゴリズムの構成方法として、ブロック暗号を用いる方法がある。
　ブロック暗号は、暗号化関数Ｅと復号関数Ｄとから構成される。暗号化関数Ｅは、ｋビットの鍵Ｋと、ｎビットの平文ブロックＭとを入力とし、ｎビットの暗号文ブロックＣを出力する関数である。これをＣ＝Ｅ（Ｋ，Ｍ）と書く。ブロック暗号の復号関数Ｄは、ｋビットの鍵Ｋとｎビットの暗号文ブロックＣとを入力とし、ｎビットの平文ブロックＭを出力する関数である。これをＭ＝Ｄ（Ｋ，Ｃ）と書く。平文ブロックＭ及び暗号文ブロックＣのサイズｎをブロックサイズと呼ぶ。ブロック暗号の暗号化関数Ｅ及び復号関数Ｄは、鍵Ｋを固定するとｎビットの置換関数になる。

　具体的なブロック暗号として、非特許文献２に記載されたＡＥＳ（Ａｄｖａｎｃｅｄ　Ｅｎｃｒｙｐｔｉｏｎ　Ｓｔａｎｄａｒｄ）と、非特許文献３に記載されたＧＩＦＴ等がある。非特許文献２に記載されたＡＥＳは、ｎは１２８であり、ｋは１２８，１９２又は２５６である。非特許文献３に記載されたＧＩＦＴは、ｎは６４又は１２８であり、ｋは１２８である。また、非特許文献２に記載されたＡＥＳ－１２８に代表されるようにｎ＝ｋ＝１２８が最も使われている。

　ブロック暗号を用いる認証暗号の安全性のパラメータについて説明する。
　秘匿性についての識別確率は、認証暗号の暗号化関数Ｅｎｃでのブロック暗号の呼び出し回数ｑと、攻撃者の計算量ｐとを用いて導出される。攻撃者の計算量ｐは、ブロック暗号１回の計算量を１とする。すなわち、攻撃者はブロック暗号をｐ回計算することができる能力を持つことになる。
　完全性についての偽造確率は、認証暗号の暗号化関数Ｅｎｃでのブロック暗号の呼び出し回数と復号関数Ｄｅｃでのブロック暗号の呼び出し回数との和Ｑと、攻撃者の計算量ｐとを用いて導出される。

　ブロック暗号を用いる認証暗号の安全性の安全性レベルについて説明する。安全性レベルには、オンライン計算の安全性レベルと、オフライン計算の安全性レベルとがある。
　オンライン計算の安全性レベルは、識別確率が１となるｑの値をｑ’とし、偽造確率が１となるＱの値をＱ’とすると、ｌｏｇ_２ｑ’とｌｏｇ_２Ｑ’との最小値である。ここで、オンライン計算の安全性レベルの単位はビットである。
　オフライン計算の安全性レベルは、識別確率が１となるｐの値をｐ_１とし、偽造確率が１となるｐの値をｐ_２とすると、ｌｏｇ_２ｐ_１とｌｏｇ_２ｐ_２との最小値である。ここで、オフライン計算の安全性レベルの単位はビットである。

　安全性レベルは、暗号アルゴリズムの長期利用の観点から高いほどよい。ブロック暗号を用いる認証暗号の場合、オンライン計算の安全性レベルはｎビット、オフライン計算の安全性レベルはｎビットが最適である。

　ブロック暗号を用いる認証暗号では、必要なメモリサイズの最小値は２ｎビットである。ここで、メモリサイズは、アルゴリズムの内部で更新される値を格納するために必要な領域のサイズである。メモリサイズの最小化は、ソフトウェアであれば必要なメモリ（ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ））サイズの小型化につながり、ハードウェアであればハードサイズの小型化につながる。

　特許文献１には、ブロック暗号を用いる認証暗号アルゴリズムが記載されている。また、非特許文献４には、ブロック暗号を用いる認証暗号アルゴリズムＲｅｍｕｓ－Ｎ２が記載されている。

国際公開第２０１７／３１６３９号

Ｔｅｔｓｕ　Ｉｗａｔａ，　Ｋｅｉｓｕｋｅ　Ｏｈａｓｈｉ，　ａｎｄ　Ｋａｚｕｈｉｋｏ　Ｍｉｎｅｍａｔｓｕ．　Ｂｒｅａｋｉｎｇ　ａｎｄ　Ｒｅｐａｉｒｉｎｇ　ＧＣＭ　Ｓｅｃｕｒｉｔｙ　Ｐｒｏｏｆｓ．　ＣＲＹＰＴＯ　２０１２，　Ｐｒｏｃｅｅｄｉｎｇｓ．　ｐａｇｅｓ　３１－４９．　Ｌｅｃｔｕｒｅ　Ｎｏｔｅｓ　ｉｎ　Ｃｏｍｐｕｔｅｒ　Ｓｃｉｅｎｃｅ　ｖｏｌｕｍｅ　７４１７．　Ｓｐｒｉｎｇｅｒ．　２０１２． Ｎａｔｉｏｎａｌ　Ｉｎｓｔｉｔｕｔｅ　ｏｆ　Ｓｔａｎｄａｒｄｓ　ａｎｄ　Ｔｅｃｈｎｏｌｏｇｙ　（ＮＩＳＴ）．　Ａｎｎｏｕｎｃｉｎｇ　ｔｈｅ　Ａｄｖａｎｃｅｄ　Ｅｎｃｒｙｐｔｉｏｎ　Ｓｔａｎｄａｒｄ（ＡＥＳ）．　ＦＩＰＳ　ＰＵＢ　１９７，　２００１． Ｓｕｂｈａｄｅｅｐ　Ｂａｎｉｋ，　Ｓｕｍｉｔ　Ｋｕｍａｒ　Ｐａｎｄｅｙ，　Ｔｈｏｍａｓ　Ｐｅｙｒｉｎ，　Ｙｕ　Ｓａｓａｋｉ，　Ｓｉａｎｇ　Ｍｅｎｇ　Ｓｉｍ，　ａｎｄ　Ｙｏｓｕｋｅ　Ｔｏｄｏ．　ＧＩＦＴ：　Ａ　Ｓｍａｌｌ　Ｐｒｅｓｅｎｔ　－　Ｔｏｗａｒｄｓ　Ｒｅａｃｈｉｎｇ　ｔｈｅ　Ｌｉｍｉｔ　ｏｆ　Ｌｉｇｈｔｗｅｉｇｈｔ　Ｅｎｃｒｙｐｔｉｏｎ．　ＣＨＥＳ　２０１７，　Ｌｅｃｔｕｒｅ　Ｎｏｔｅｓ　ｉｎ　Ｃｏｍｐｕｔｅｒ　Ｓｃｉｅｎｃｅ，　ｖｏｌｕｍｅ　１０５２９，　ｐａｇｅ　３２１－３４５． Ｔｅｔｓｕ　Ｉｗａｔａ，　Ｍｕｓｔａｆａ　Ｋｈａｉｒａｌｌａｈ，　Ｋａｚｕｈｉｋｏ　Ｍｉｎｅｍａｔｓｕ，　ａｎｄ　Ｔｈｏｍａｓ　Ｐｅｙｒｉｎ：Ｄｕｅｌ　ｏｆ　ｔｈｅ　Ｔｉｔａｎｓ：　Ｔｈｅ　Ｒｏｍｕｌｕｓ　ａｎｄ　Ｒｅｍｕｓ　Ｆａｍｉｌｉｅｓ　ｏｆ　Ｌｉｇｈｔｗｅｉｇｈｔ　ＡＥＡＤ　Ａｌｇｏｒｉｔｈｍｓ．　ＴｏＳＣ　２０２０　Ｉｓｓｕｅ　１．　ｐ．４３－１２０．

　特許文献１に記載された認証暗号アルゴリズムに必要なメモリサイズは最小の２ｎビットである。また、オフライン計算の安全性レベルはｎビットであり、最適である。しかし、オンライン計算の安全性レベルはｎ／２ビットであり、最適ではない。
　非特許文献４に記載された認証暗号アルゴリズムの安全性レベルは、オンライン計算の安全性レベルとオフライン計算の安全性レベルがともにｎビットであり、最適である。しかし、メモリサイズは、特許文献１に記載された認証暗号アルゴリズムよりもｎビット多い、３ｎビットであり、最小ではない。

　本開示は、オンライン計算の安全性レベルとオフライン計算の安全性レベルがともに最適のｎビットであり、メモリサイズが最小である２ｎビットとなるブロック暗号を用いた認証暗号を実現可能にすることを目的とする。

　本開示に係る暗号化装置は、
　平文Ｍを順にｎビット毎に分割して値Ｍ［１］，．．．，値Ｍ［ｍ］を生成する分割部と、
　ｎビットの値Ｈｔを値Ｔ［０］とし、ｎビットの値Ｈｂを値Ｂ［０］として、ｉ＝１，．．．，ｍの各整数ｉについて昇順に、値Ｔ［ｉ－１］を鍵として値Ｂ［ｉ－１］をブロック暗号によって暗号化してｎビットの値Ｂ［ｉ］を生成し、値Ｂ［ｉ］と、前記分割部によって生成された値Ｍ［ｉ］とから値Ｃ［ｉ］を生成し、値Ｔ［ｉ－１］を置換関数Ｐで変換した値Ｐ（Ｔ［ｉ－１］）と、前記値Ｂ［ｉ］を置換関数Ｆで変換した値Ｆ（Ｂ［ｉ］）と、前記値Ｃ［ｉ］とからｎビットの値Ｔ［ｉ］を生成する暗号要素生成部と、
　前記暗号要素生成部によって生成されたｉ＝１，．．．，ｍについての値Ｃ［ｉ］を結合して暗号文Ｃを生成する暗号文生成部と、
　値Ｈ［ｍ］と値Ｂ［ｍ］とから前記暗号文Ｃの改ざんを検知するための認証子Ｔａｇを生成する認証子生成部と
を備える。

　本開示では、置換関数Ｐ及び置換関数Ｆを用いて値Ｔ及び値Ｂを更新して暗号要素を生成する。これにより、内部で更新されるメモリのサイズが２ｎビットになる。その結果、オンライン計算の安全性レベル及びオフライン計算の安全性レベルがともに最適のｎビットであり、メモリサイズが最小である２ｎビットとなるブロック暗号を用いた認証暗号アルゴリズムを実現可能である。

実施の形態１に係る暗号化装置１０の構成図。 実施の形態１に係る復号装置３０の構成図。 実施の形態１におけるブロック暗号の暗号化関数Ｅの表記方法の説明図。 実施の形態１に係る認証暗号アルゴリズムで用いられる基本処理の説明図。 実施の形態１に係る分割処理のフローチャート。 実施の形態１に係る初期値生成処理のフローチャート。 実施の形態１に係る初期値生成処理の説明図。 実施の形態１に係る公開データ処理のフローチャート。 実施の形態１に係る公開データ処理の説明図。 実施の形態１に係る暗号文生成処理のフローチャート。 実施の形態１に係る暗号文生成処理の説明図。 実施の形態１に係る認証子生成処理のフローチャート。 実施の形態１に係る認証子生成処理の説明図。 実施の形態１に係る分割処理のフローチャート。 実施の形態１に係る平文生成処理のフローチャート。 実施の形態１に係る平文生成処理の説明図。 実施の形態１に係る改ざん検知処理のフローチャート。 実施の形態１に係る改ざん検知処理の説明図。 変形例１に係る暗号化装置１０の構成図。 変形例１に係る復号装置３０の構成図。 変形例１に係る暗号化装置１０の他の構成図。 変形例１に係る復号装置３０の他の構成図。

　実施の形態１．
　＊＊＊構成の説明＊＊＊
　図１を参照して、実施の形態１に係る暗号化装置１０の構成を説明する。
　暗号化装置１０は、コンピュータである。
　暗号化装置１０は、プロセッサ１１と、メモリ１２と、ストレージ１３と、入出力インタフェース１４とのハードウェアを備える。プロセッサ１１は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。

　暗号化装置１０は、機能構成要素として、分割部２１と、初期値生成部２２と、公開データ処理部２３と、暗号要素生成部２４と、暗号文生成部２５と、認証子生成部２６とを備える。暗号化装置１０の各機能構成要素の機能はソフトウェアにより実現される。
　ストレージ１３には、暗号化装置１０の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ１１によりメモリ１２に読み込まれ、プロセッサ１１によって実行される。これにより、暗号化装置１０の各機能構成要素の機能が実現される。

　図２を参照して、実施の形態１に係る復号装置３０の構成を説明する。
　復号装置３０は、コンピュータである。
　復号装置３０は、プロセッサ３１と、メモリ３２と、ストレージ３３と、入出力インタフェース３４とのハードウェアを備える。プロセッサ３１は、信号線を介して他のハードウェアと接続され、これら他のハードウェアを制御する。

　復号装置３０は、機能構成要素として、分割部４１と、初期値生成部４２と、公開データ処理部４３と、平文要素生成部４４と、平文生成部４５と、認証子生成部４６とを備える。復号装置３０の各機能構成要素の機能はソフトウェアにより実現される。
　ストレージ３３には、復号装置３０の各機能構成要素の機能を実現するプログラムが格納されている。このプログラムは、プロセッサ３１によりメモリ３２に読み込まれ、プロセッサ３１によって実行される。これにより、復号装置３０の各機能構成要素の機能が実現される。

　プロセッサ１１，３１は、プロセッシングを行うＩＣ（Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）である。プロセッサ１１，３１は、具体例としては、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）、ＤＳＰ（Ｄｉｇｉｔａｌ　Ｓｉｇｎａｌ　Ｐｒｏｃｅｓｓｏｒ）、ＧＰＵ（Ｇｒａｐｈｉｃｓ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）である。

　メモリ１２，３２は、データを一時的に記憶する記憶装置である。メモリ１２，３２は、具体例としては、ＳＲＡＭ（Ｓｔａｔｉｃ　Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）、ＤＲＡＭ（Ｄｙｎａｍｉｃ　Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）である。

　ストレージ１３，３３は、データを保管する記憶装置である。ストレージ１３，３３は、具体例としては、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）である。また、ストレージ１３，３３は、ＳＤ（登録商標，Ｓｅｃｕｒｅ　Ｄｉｇｉｔａｌ）メモリカード、ＣＦ（ＣｏｍｐａｃｔＦｌａｓｈ，登録商標）、ＮＡＮＤフラッシュ、フレキシブルディスク、光ディスク、コンパクトディスク、ブルーレイ（登録商標）ディスク、ＤＶＤ（Ｄｉｇｉｔａｌ　Ｖｅｒｓａｔｉｌｅ　Ｄｉｓｋ）といった可搬記録媒体であってもよい。

　入出力インタフェース１４，３４は、外部の装置と通信するためのインタフェースである。入出力インタフェース１４，３４は、具体例としては、Ｅｔｈｅｒｎｅｔ（登録商標）、ＵＳＢ（Ｕｎｉｖｅｒｓａｌ　Ｓｅｒｉａｌ　Ｂｕｓ）、ＨＤＭＩ（登録商標，Ｈｉｇｈ－Ｄｅｆｉｎｉｔｉｏｎ　Ｍｕｌｔｉｍｅｄｉａ　Ｉｎｔｅｒｆａｃｅ）のポートである。

　図１では、プロセッサ１１は、１つだけ示されていた。しかし、プロセッサ１１は、複数であってもよく、複数のプロセッサ１１が、各機能を実現するプログラムを連携して実行してもよい。同様に、図２では、プロセッサ３１は、１つだけ示されていた。しかし、プロセッサ３１は、複数であってもよく、複数のプロセッサ３１が、各機能を実現するプログラムを連携して実行してもよい。

　＊＊＊動作の説明＊＊＊
　図３から図１８を参照して、実施の形態１に係る暗号化装置１０及び復号装置３０の動作を説明する。
　実施の形態１に係る暗号化装置１０の動作手順は、実施の形態１に係る暗号化方法に相当する。また、実施の形態１に係る暗号化装置１０の動作を実現するプログラムは、実施の形態１に係る暗号化プログラムに相当する。
　実施の形態１に係る復号装置３０の動作手順は、実施の形態１に係る復号方法に相当する。また、実施の形態１に係る復号装置３０の動作を実現するプログラムは、実施の形態１に係る復号プログラムに相当する。

　暗号化装置１０及び復号装置３０によって、認証暗号アルゴリズムが実現される。ここでは、ブロックサイズｎと鍵のサイズｋとが等しいブロック暗号を用いる認証暗号アルゴリズムが実現される。
　暗号化装置１０は、認証暗号アルゴリズムにおける暗号化アルゴリズムＥｎｃを実現する。また、復号装置３０は認証暗号アルゴリズムにおける復号アルゴリズムＤｅｃを実現する。

　＊＊前提となる事項の説明＊＊
　集合Ｎｓｅｔは、ナンスＮの集合である。

　排他的論理和の演算子を数１のように表す。

　ビット列Ｘのビット長を｜Ｘ｜と書く。ビット列Ｘが空列である場合、｜Ｘ｜＝０である。

　関数ｐａｄ［ｒ］は、ｒビット以下の値を入力として、ｒビットの値を出力する関数である。関数ｐａｄ［ｒ］は、ｒ－１ビット以下の値に対しては、単射であるとする。具体例としては、ｒ－１ビット以下の値Ｘに対して、関数ｐａｄ［ｒ］（Ｘ）は、Ｘの後ろに１をビット結合し、その後ろにビット長がｒとなるように０のビット列を結合した値を出力し、ｒビットの値Ｙに対して値Ｙを出力する関数である。

　関数Ｉｎｉｔは、集合Ｎｓｅｔの値を入力として、ｎビットの値を出力する単射関数である。

　ｃｏｎｓｔ［１］と、ｃｏｎｓｔ［２］と、ｃｏｎｓｔ［３］と、ｃｏｎｓｔ［４］とは、非ゼロの異なるｎビットの値とする。

　値Ｙに対して置換関数Ｕをｉ回適用した結果をＵ［ｉ］（Ｙ）と書く。

　図３を参照して、実施の形態１におけるブロック暗号の暗号化関数Ｅの表記方法を説明する。
　ブロック暗号は、暗号化関数Ｅと復号関数Ｄとから構成される。暗号化関数Ｅは、ｋ（＝ｎ）ビットの鍵Ｋと、ｎビットの平文ブロックＭとを入力とし、ｎビットの暗号文ブロックＣを出力する関数である。これをＣ＝Ｅ（Ｋ，Ｍ）と書き、図３のように表す。つまり、２つの入力値のうち、黒塗りになっている部分に入力される入力値が鍵であり、他方の入力値が暗号化される値である。

　図４を参照して、実施の形態１に係る認証暗号アルゴリズムで用いられる基本処理を説明する。
　実施の形態１に係る認証暗号アルゴリズムでは、ｎビットの値を入力とし、ｎビットの値を出力する置換関数Ｐ，Ｆ，Ｇとブロック暗号Ｅとを用いた以下の基本処理が用いられる。基本処理は２つのｎビットの値Ｘ及び値Ｙを入力として、２つのｎビットの値Ｚ及び値Ｗを出力する。
　（基本処理）
　（１）値Ｙを鍵として値Ｘをブロック暗号Ｅによって暗号化し、置換関数Ｇで変換されて値Ｚが生成される。
　（２）値Ｙを置換関数Ｐで変換した値Ｐ（Ｙ）と、値Ｚを置換関数Ｆで変換した値Ｆ（Ｚ）との排他的論理和をとって値Ｗが生成される。
　（３）値Ｚと値Ｗとが出力される。

　＊＊暗号化装置１０の動作＊＊
　図５から図１３を参照して、実施の形態１に係る暗号化装置１０の動作を説明する。
　暗号化装置１０は、分割処理と、初期値生成処理と、公開データ処理と、暗号文生成処理と、認証子生成処理とを順に実行する。

　＜分割処理＞
　図５を参照して、実施の形態１に係る分割処理を説明する。
　（ステップＳ１０１）
　分割部２１は、秘密鍵Ｋと、ナンスＮと、公開データＡと、平文Ｍとを取得する。
　具体的には、分割部２１は、ストレージ１３に記憶された秘密鍵ＫとナンスＮと公開データＡとを読み出す。また、分割部２１は、入出力インタフェース１４を介して接続された入力装置から入力された平文Ｍを取得する。
　秘密鍵Ｋは、ｎビットの鍵であり、事前に暗号文Ｃの送付先と共有された鍵である。ナンスＮは、集合Ｎｓｅｔにおけるｎビットの値である。ナンスＮは、暗号化毎に異なる値が用いられ、秘密鍵Ｋを変更しない限り同じ値は用いられない。公開データＡは、公開してもよい値であり、任意のビット長の値である。平文Ｍは、暗号化する対象の値であり、任意のビット長の値である。

　（ステップＳ１０２）
　分割部２１は、公開データＡを予め決められた順に２ｎビット毎に分割して値Ａ［１］，．．．，値Ａ［ａ］を生成する。ここでは、分割部２１は、公開データＡを先頭から順に２ｎビット毎に分割して値Ａ［１］，．．．，値Ａ［ａ］を生成する。したがって、値Ａ［１］，値Ａ［２］，．．．，値Ａ［ａ－１］はそれぞれ２ｎビットの値であり、値Ａ［ａ］は１ビット以上２ｎビット以下の値である。また、公開データＡは、値Ａ［１］，値Ａ［２］，．．．，値Ａ［ａ］をビット結合した値である。
　分割部２１は、平文Ｍを予め決められた順にｎビット毎に分割して値Ｍ［１］，．．．，値Ｍ［ｍ］を生成する。ここでは、分割部２１は、平文Ｍを先頭から順にｎビット毎に分割して値Ｍ［１］，．．．，値Ｍ［ｍ］を生成する。したがって、値Ｍ［１］，値Ｍ［２］，．．．，値Ｍ［ｍ－１］はそれぞれｎビットの値であり、値Ｍ［ｍ］は１ビット以上ｎビット以下の値である。また、平文Ｍは、値Ｍ［１］，値Ｍ［２］，．．．，値Ｍ［ｍ］をビット結合した値である。

　＜初期値生成処理＞
　図６及び図７を参照して、実施の形態１に係る初期値生成処理を説明する。
　初期値生成処理では、置換関数Ｇとして、恒等写像、つまりＧ（Ｘ）＝Ｘが用いられる。

　（ステップＳ１１１）
　初期値生成部２２は、ナンスＮを関数Ｉｎｉｔに入力してｎビットの値Ｉｎｉｔ（Ｎ）を生成する。初期値生成部２２は、秘密鍵Ｋを用いて値Ｉｎｉｔ（Ｎ）をブロック暗号Ｅによって暗号化して値Ｅ（Ｎ）を生成する。初期値生成部２２は、値Ｅ（Ｎ）を値Ｔｍｐに設定する。

　（ステップＳ１１２）
　初期値生成部２２は、秘密鍵Ｋを置換関数Ｐで変換した値Ｐ（Ｋ）と、値Ｔｍｐ（＝値Ｅ（Ｎ））を置換関数Ｆで変換した値Ｆ（Ｔｍｐ）（＝値Ｆ（Ｅ［Ｎ］））とから値ＩＶｔを生成する。具体的には、初期値生成部２２は、値Ｐ（Ｋ）と値Ｆ（Ｔｍｐ）との排他的論理和を計算して、値ＩＶｔを生成する。

　ここで、置換関数Ｐとしては、異なる値ｉ及び値ｊと、ｎビットの値Ｓと、変数Ｙとに対して、数２が変数Ｙについて唯一の解を持つような置換関数が用いられる。

　置換関数Ｆとしては、ｎビットの値Ｓと、変数Ｚとに対して、数３がＺについて唯一の解を持つような置換関数が用いられる。

　例えば、置換関数Ｐと置換関数Ｆとはガロア体ＧＦ（２^ｎ）上の生成元との掛け算を用いることができる。すなわち、生成元をｕとすると、Ｐ（Ｙ）＝ｕ・Ｙ、Ｆ（Ｚ）＝ｕ・Ｚとなる。

　（ステップＳ１１３）
　初期値生成部２２は、公開データＡと平文Ｍとに応じて値ｉｄを設定する。
　具体的には、初期値生成部２２は、公開データＡのビット長が０であり、かつ、平文Ｍのビット長が０である場合には、ｃｏｎｓｔ［１］を値ｉｄに設定する。初期値生成部２２は、公開データＡのビット長が０でなく、かつ、平文Ｍのビット長が０である場合には、ｃｏｎｓｔ［２］を値ｉｄに設定する。初期値生成部２２は、公開データＡのビット長が０であり、かつ、平文Ｍのビット長が０でない場合には、ｃｏｎｓｔ［３］を値ｉｄに設定する。初期値生成部２２は、公開データＡのビット長が０でなく、かつ、平文Ｍのビット長が０でない場合には、ｃｏｎｓｔ［４］を値ｉｄに設定する。

　（ステップＳ１１４）
　初期値生成部２２は、値Ｔｍｐ（＝値Ｅ（Ｎ））と、値ｉｄとから値ＩＶｂを生成する。
　具体的には、初期値生成部２２は、値Ｔｍｐと値ｉｄとの排他的論理和を計算して、値ＩＶｂを生成する。

　（ステップＳ１１５）
　初期値生成部２２は、値ＩＶｔ及び値ＩＶｂを出力する。

　＜公開データ処理＞
　図８及び図９を参照して、実施の形態１に係る公開データ処理を説明する。
　公開データ処理では、ステップＳ１２４においては、置換関数Ｇとして、恒等写像、つまりＧ（Ｘ）＝Ｘが用いられる。ステップＳ１２６においては、置換関数Ｇとして、置換関数Ｑが用いられる。
　また、公開データ処理では、置換関数Ｐは、初期値生成処理と同じ関数が用いられる。また、置換関数Ｆとしては、初期値生成処理で用いた置換関数Ｆと同様に、ｎビットの値Ｓと、変数Ｚとに対して、数３がＺについて唯一の解を持つような置換関数が用いられる。

　（ステップＳ１２１）
　公開データ処理部２３は、初期値生成処理で生成された値ＩＶｔ及び値ＩＶｂを取得する。公開データ処理部２３は、値ＩＶｔを値Ｔ^＊［０］に設定し、値ＩＶｂを値Ｂ^＊［０］に設定する。

　（ステップＳ１２２）
　公開データ処理部２３は、公開データＡのビット長が０であるか否かを判定する。
　公開データ処理部２３は、公開データＡのビット長が０である場合には、処理をステップＳ１３１に進める。一方、公開データ処理部２３は、公開データＡのビット長が０でない場合には、処理をステップＳ１２３に進める。

　（ステップＳ１２３）
　公開データ処理部２３は、図５のステップＳ１０２で公開データＡが分割された数である分割数ａが１であるか否かを判定する。図５のステップＳ１０２では、公開データＡが値Ａ［１］，．．．，値Ａ［ａ］の“ａ”個に分割された。分割数ａは、この“ａ”個を表す。
　公開データ処理部２３は、分割数ａが１である場合には、処理をステップＳ１２５に進める。一方、公開データ処理部２３は、分割数ａが１でない場合には、処理をステップＳ１２４に進める。

　（ステップＳ１２４）
　公開データ処理部２３は、ｉ＝１，．．．，ａ－１の各整数ｉについて昇順に、（１）から（４）を実行する。
　（１）公開データ処理部２３は、値Ｔ^＊［ｉ－１］を鍵として値Ｂ^＊［ｉ－１］をブロック暗号Ｅによって暗号化して値Ｅ（Ｂ^＊［ｉ－１］）を生成する。
　（２）公開データ処理部２３は、値Ａ［ｉ］のうち予め決められた位置のｎビットを値Ａ［ｉ，ｔ］に設定し、値Ａ［ｉ］のうちの値Ａ［ｉ，ｔ］以外のｎビットを値Ａ［ｉ，ｂ］に設定する。例えば、公開データ処理部２３は、値Ａ［ｉ］のうち先頭ｎビットを値Ａ［ｉ，ｔ］に設定し、残りｎビットを値Ａ［ｉ，ｂ］に設定する。
　（３）公開データ処理部２３は、値Ｔ^＊［ｉ－１］を置換関数Ｐで変換した値Ｐ（Ｔ^＊［ｉ－１］）と、値Ｅ（Ｂ^＊［ｉ－１］）を置換関数Ｆで変換した値Ｆ（Ｅ（Ｂ^＊［ｉ－１］））と、値Ａ［ｉ，ｔ］とからｎビットの値Ｔ^＊［ｉ］を生成する。具体的には、公開データ処理部２３は、値Ｐ（Ｔ^＊［ｉ－１］）と値Ｆ（Ｅ（Ｂ^＊［ｉ－１］））と値Ａ［ｉ，ｔ］との排他的論理和を計算して、値Ｔ^＊［ｉ］を生成する。
　（４）公開データ処理部２３は、値Ｅ（Ｂ^＊［ｉ－１］）と、値Ａ［ｉ，ｂ］とからｎビットの値Ｂ^＊［ｉ］を生成する。具体的には、公開データ処理部２３は、値Ｅ（Ｂ^＊［ｉ－１］）と値Ａ［ｉ，ｂ］との排他的論理和を計算して、値Ｂ^＊［ｉ］を生成する。

　（ステップＳ１２５）
　公開データ処理部２３は、値Ｔ^＊［ａ－１］を鍵として値Ｂ^＊［ａ－１］をブロック暗号Ｅによって暗号化して値Ｅ（Ｂ^＊［ａ－１］）を生成する。

　（ステップＳ１２６）
　公開データ処理部２３は、値Ａ［ａ］のビット長が２ｎである場合には、値Ｅ（Ｂ^＊［ａ－１］）を置換関数Ｑを１回適用して変換した値Ｑ［１］（Ｅ（Ｂ^＊［ａ－１］））を値Ｑ（Ｅ（Ｂ^＊［ａ－１］））として生成する。一方、値Ａ［ａ］のビット長が２ｎでない場合には、値Ｅ（Ｂ^＊［ａ－１］）を置換関数Ｑを２回適用して変換した値Ｑ［２］（Ｅ（Ｂ^＊［ａ－１］））を値Ｑ（Ｅ（Ｂ^＊［ａ－１］））として生成する。

　（ステップＳ１２７）
　公開データ処理部２３は、関数ｐａｄにより、値Ａ［ａ］にビットをパディングして得られた２ｎビットの値Ａ’［ａ］を生成する。つまり、公開データ処理部２３は、Ａ’［ａ］＝ｐａｄ［２ｎ］（Ａ［ａ］）を計算する。

　（ステップＳ１２８）
　公開データ処理部２３は、値Ａ’［ａ］のうち予め決められた位置のｎビットを値Ａ’［ａ，ｔ］に設定し、値’Ａ［ｉ］のうちの値Ａ’［ａ，ｔ］以外のｎビットを値Ａ’［ａ，ｂ］に設定する。例えば、公開データ処理部２３は、値Ａ’［ａ］のうち先頭ｎビットを値Ａ’［ａ，ｔ］に設定し、残りのｎビットを値Ａ’［ａ，ｂ］に設定する。

　（ステップＳ１２９）
　公開データ処理部２３は、値Ｔ^＊［ａ－１］を置換関数Ｐで変換した値Ｐ（Ｔ^＊［ａ－１］）と、値Ｑ（Ｅ（Ｂ^＊［ａ－１］））を置換関数Ｆで変換した値Ｆ（Ｑ（Ｅ（Ｂ^＊［ａ－１］）））と、値Ａ’［ａ，ｔ］とから値Ｔ^＊［ａ］を生成する。具体的には、公開データ処理部２３は、値Ｐ（Ｔ^＊［ａ－１］）と値Ｆ（Ｑ（Ｅ（Ｂ^＊［ａ－１］）））と値Ａ’［ａ，ｔ］との排他的論理和を計算して、値Ｔ^＊［ａ］を生成する。

　ここで、置換関数Ｑとしては、ｎビットの値Ｓと、ｎビットの変数Ｘとに対して、数４がＸについて唯一の解を持ち、恒等写像ではない置換関数が用いられる。

　例えば、置換関数Ｑ［１］と置換関数Ｑ［２］とは、ガロア体ＧＦ（２^ｎ）上の掛け算を用いる方法がある。すなわち、ガロア体ＧＦ（２^ｎ）上の０と１以外で異なる２つの値をｕ，ｖとし、Ｑ［１］（Ｚ）＝ｕ・Ｚ、Ｑ［２］（Ｚ）＝ｖ・Ｚとする。

　（ステップＳ１３０）
　公開データ処理部２３は、値Ｑ（Ｅ（Ｂ^＊［ａ－１］））と、値Ａ’［ａ，ｂ］とから値Ｂ^＊［ａ］を生成する。具体的には、公開データ処理部２３は、値Ｑ（Ｅ（Ｂ^＊［ａ－１］））と値Ａ’［ａ，ｂ］との排他的論理和を計算して、値Ｂ^＊［ａ］を生成する。

　（ステップＳ１３１）
　公開データ処理部２３は、値Ｔ^＊［ａ］を値Ｈｔに設定し、値Ｂ^＊［ａ］を値Ｈｂに設定する。そして、公開データ処理部２３は、値Ｈｔ及び値Ｈｂを出力する。
　なお、公開データＡのビット長が０である場合には、値Ｔ^＊［０］が値Ｈｔに設定され、値Ｂ^＊［０］が値Ｈｂに設定される。

　＜暗号文生成処理＞
　図１０及び図１１を参照して、実施の形態１に係る暗号文生成処理を説明する。
　暗号文生成処理では、ステップＳ１４４においては、置換関数Ｇとして、恒等写像、つまりＧ（Ｘ）＝Ｘが用いられる。ステップＳ１４６においては、置換関数Ｇとして、置換関数Ｒが用いられる。
　また、暗号文生成処理では、置換関数Ｐは、初期値生成処理と同じ関数が用いられる。また、置換関数Ｆとしては、初期値生成処理で用いた置換関数Ｆと同様に、ｎビットの値Ｓと、変数Ｚとに対して、数３がＺについて唯一の解を持つような置換関数が用いられる。

　（ステップＳ１４１）
　暗号要素生成部２４は、公開データ処理で生成された値Ｈｔ及び値Ｈｂを取得する。暗号要素生成部２４は、値Ｈｔを値Ｔ［０］に設定し、値Ｈｂを値Ｂ［０］に設定する。

　（ステップＳ１４２）
　暗号要素生成部２４は、平文Ｍのビット長が０であるか否かを判定する。
　暗号要素生成部２４は、平文Ｍのビット長が０である場合には、平文Ｍを空列として、処理をステップＳ１５１に進める。一方、暗号要素生成部２４は、平文Ｍのビット長が０でない場合には、処理をステップＳ１４３に進める。

　（ステップＳ１４３）
　暗号要素生成部２４は、図５のステップＳ１０２で平文Ｍが分割された数である分割数ｍが１であるか否かを判定する。図５のステップＳ１０２では、平文Ｍが値Ｍ［１］，．．．，値Ｍ［ｍ］の“ｍ”個に分割された。分割数ｍは、この“ｍ”個を表す。
　暗号要素生成部２４は、分割数ｍが１である場合には、処理をステップＳ１４５に進める。一方、暗号要素生成部２４は、分割数ｍが１でない場合には、処理をステップＳ１４４に進める。

　（ステップＳ１４４）
　暗号要素生成部２４は、ｉ＝１，．．．，ｍ－１の各整数ｉについて昇順に、（１）から（３）を実行する。
　（１）暗号要素生成部２４は、値Ｔ［ｉ－１］を鍵として値Ｂ［ｉ－１］をブロック暗号Ｅによって暗号化して値Ｂ［ｉ］を生成する。
　（２）暗号要素生成部２４は、値Ｍ［ｉ］と値Ｂ［ｉ］とから値Ｃ［ｉ］を生成する。具体的には、暗号要素生成部２４は、値Ｍ［ｉ］と値Ｂ［ｉ］との排他的論理和を計算して、値Ｃ［ｉ］を生成する。
　（３）暗号要素生成部２４は、値Ｔ［ｉ－１］を置換関数Ｐで変換した値Ｐ（Ｔ［ｉ－１］）と、値Ｂ［ｉ］を置換関数Ｆで変換した値Ｆ（Ｂ［ｉ］）と、値Ｃ［ｉ］とからｎビットの値Ｔ［ｉ］を生成する。具体的には、暗号要素生成部２４は、値Ｐ（Ｔ［ｉ－１］）と値Ｆ（Ｂ［ｉ］）と値Ｃ［ｉ］との排他的論理和を計算して、値Ｔ［ｉ］を生成する。

　（ステップＳ１４５）
　暗号要素生成部２４は、値Ｔ［ｍ－１］を鍵として値Ｂ［ｍ－１］をブロック暗号Ｅによって暗号化して値Ｂ［ｍ］を生成する。

　（ステップＳ１４６）
　暗号要素生成部２４は、値Ｍ［ｍ］のビット長がｎである場合には、値Ｂ［ｍ］を置換関数Ｒを１回適用して変換した値Ｒ［１］（Ｂ［ｍ］）を値Ｒ（Ｂ［ｍ］）として生成する。一方、値Ｍ［ｍ］のビット長がｎでない場合には、値Ｂ［ｍ］を置換関数Ｒを２回適用して変換した値Ｒ［２］（Ｂ［ｍ］）を値Ｒ（Ｂ［ｍ］）として生成する。

　（ステップＳ１４７）
　暗号要素生成部２４は、値Ｒ（Ｂ［ｍ］）の予め決められた位置の｜Ｍ［ｍ］｜ビットを抽出して値Ｂ’［ｍ］に設定する。例えば、暗号要素生成部２４は、値Ｒ（Ｂ［ｍ］）のうち先頭の｜Ｍ［ｍ］｜ビットを値Ｂ’［ｍ］に設定する、あるいは、値Ｒ（Ｂ［ｍ］）のうち後ろの｜Ｍ［ｍ］｜ビットを値Ｂ’［ｍ］に設定する。

　（ステップＳ１４８）
　暗号要素生成部２４は、値Ｍ［ｍ］と値Ｂ’［ｍ］とから値Ｃ［ｍ］を生成する。具体的には、暗号要素生成部２４は、値Ｍ［ｍ］と値Ｂ’［ｍ］との排他的論理和を計算して、値Ｃ［ｍ］を生成する。

　（ステップＳ１４９）
　暗号文生成部２５は、ｉ＝１，．．．，ｍについての値Ｃ［ｉ］を結合して暗号文Ｃを生成する。例えば、暗号文生成部２５は、Ｃ＝Ｃ［１］｜｜Ｃ［２］｜｜．．．｜｜Ｃ［ｍ］を計算することにより、暗号文Ｃを生成する。ここで、｜｜は結合を表す。

　（ステップＳ１５０）
　暗号要素生成部２４は、値Ｃ［ｍ］にビットをパディングして得られたｎビットの値Ｃ’［ｍ］を生成する。つまり、暗号要素生成部２４は、Ｃ’［ｍ］＝ｐａｄ［ｎ］（Ｃ［ｍ］）を計算する。
　そして、暗号要素生成部２４は、値Ｔ「ｍ－１］を置換関数Ｐで変換した値Ｐ（Ｔ［ｍ－１］）と、値Ｒ（Ｂ［ｍ］）を置換関数Ｆで変換した値Ｆ（Ｒ（Ｂ［ｍ］））と、値Ｃ’［ｍ］とから値Ｔ［ｍ］を生成する。具体的には、暗号要素生成部２４は、値Ｐ（Ｔ［ｍ－１］）と値Ｆ（Ｒ（Ｂ［ｍ］））と値Ｃ’「ｍ］との排他的論理和を計算して、値Ｔ「ｍ］を生成する。

　（ステップＳ１５１）
　暗号要素生成部２４は、値Ｔ「ｍ］を値Ｅｔに設定し、値Ｒ（Ｂ［ｍ］）を値Ｅｂに設定する。そして、暗号要素生成部２４は、値Ｅｔ及び値Ｅｂを出力する。
　なお、平文Ｍのビット長が０である場合には、値Ｔ［０］が値Ｅｔに設定され、値Ｂ［０］が値Ｅｂに設定される。

　＜認証子生成処理＞
　図１２及び図１３を参照して、実施の形態１に係る認証子生成処理を説明する。
　認証子生成処理では、置換関数Ｇとして、恒等写像、つまりＧ（Ｘ）＝Ｘが用いられる。

　（ステップＳ１６１）
　認証子生成部２６は、暗号文生成処理で生成された値Ｅｔ及び値Ｅｂを取得する。認証子生成部２６は、値Ｅｔを値Ｔ^＋［０］に設定し、値Ｅｂを値Ｂ^＋［０］に設定する。

　（ステップＳ１６２）
　認証子生成部２６は、値Ｔ^＋［０］を鍵として値Ｂ^＋［０］をブロック暗号Ｅによって暗号化して値Ｂ^＋［１］を生成する。

　（ステップＳ１６３）
　認証子生成部２６は、値Ｔ^＋［０］を置換関数Ｐで変換した値Ｐ（Ｔ^＋［０］）と、値Ｂ^＋［１］を置換関数Ｆで変換した値Ｆ（Ｂ^＋［１］）とからｎビットの値Ｔ^＋［１］を生成する。具体的には、認証子生成部２６は、値Ｐ（Ｔ^＋［０］）と値Ｆ（Ｂ^＋［１］）との排他的論理和を計算して、値Ｔ^＋［１］を生成する。

　（ステップＳ１６４）
　認証子生成部２６は、値Ｔ^＋［１］を認証子Ｔａｇに設定する。
　なお、認証子生成部２６は、値Ｂ^＋［１］を認証子Ｔａｇに設定してもよい。この場合には、ステップＳ１６３の処理は不要である。

　暗号化装置１０は、図５のステップＳ１０１で取得されたナンスＮ及び公開データＡと、図１０のステップＳ１４９で生成された暗号文Ｃと、図１２のステップＳ１６４で生成された認証子Ｔａｇとを出力する。

　＊＊復号装置３０の動作＊＊
　図１４から図１８を参照して、実施の形態１に係る復号装置３０の動作を説明する。
　復号装置３０は、分割処理と、初期値生成処理と、公開データ処理と、平文生成処理と、改ざん検知処理とを順に実行する。

　初期値生成処理及び公開データ処理は、暗号化装置１０の初期値生成処理及び公開データ処理と同じである。つまり、初期値生成処理では、暗号化装置１０の初期値生成部２２が行った処理を、復号装置３０の初期値生成部４２が行う。公開データ処理では、暗号化装置１０の公開データ処理部４３が行った処理を、復号装置３０の公開データ処理部４３が行う。
　但し、初期値生成処理において、値ｉｄを設定する際、初期値生成部４２は、平文Ｍに代えて暗号文Ｃを用いる。つまり、初期値生成部４２は、公開データＡのビット長と、暗号文Ｃのビット長とに応じて値ｉｄを設定する。

　＜分割処理＞
　図１４を参照して、実施の形態１に係る分割処理を説明する。
　（ステップＳ２０１）
　分割部４１は、秘密鍵Ｋと、ナンスＮと、公開データＡと、暗号文Ｃと、認証子Ｔａｇとを取得する。
　具体的には、分割部４１は、ストレージ３３に記憶された秘密鍵Ｋを読み出す。また、分割部２１は、入出力インタフェース１４を介して接続された入力装置から、暗号化装置１０によって出力されたナンスＮと公開データＡと暗号文Ｃと認証子Ｔａｇとを取得する。
　（ステップＳ２０２）
　分割部４１は、図５のステップＳ１０２と同様に、公開データＡを予め決められた順に２ｎビット毎に分割して値Ａ［１］，．．．，値Ａ［ａ］を生成する。
　分割部４１は、暗号文Ｃを予め決められた順にｎビット毎に分割して値Ｃ［１］，．．．，値Ｃ［ｃ］を生成する。ここでは、分割部４１は、暗号文Ｃを先頭から順にｎビット毎に分割して値Ｃ［１］，．．．，値Ｃ［ｃ］を生成する。したがって、値Ｃ［１］，値Ｃ［２］，．．．，値Ｃ［ｃ－１］はそれぞれｎビットの値であり、値Ｃ［ｃ］は１ビット以上ｎビット以下の値である。また、暗号文Ｃは、値Ｃ［１］，値Ｃ［２］，．．．，値Ｃ［ｃ］をビット結合した値である。

　＜平文生成処理＞
　図１５及び図１６を参照して、実施の形態１に係る平文生成処理を説明する。
　平文生成処理では、置換関数Ｐと、置換関数Ｆと、置換関数Ｒとは、暗号文生成処理と同じ関数が用いられる。

　（ステップＳ２４１）
　平文要素生成部４４は、公開データ処理で生成された値Ｈｔ及び値Ｈｂを取得する。平文要素生成部４４は、値Ｈｔを値Ｔ［０］に設定し、値Ｈｂを値Ｂ［０］に設定する。

　（ステップＳ２４２）
　平文要素生成部４４は、暗号文Ｃのビット長が０であるか否かを判定する。
　平文要素生成部４４は、暗号文Ｃのビット長が０である場合には、暗号文Ｃを空列として、処理をステップＳ２５１に進める。一方、平文要素生成部４４は、暗号文Ｃのビット長が０でない場合には、処理をステップＳ２４３に進める。

　（ステップＳ２４３）
　平文要素生成部４４は、図１４のステップＳ２０２で暗号文Ｃが分割された数である分割数ｃが１であるか否かを判定する。図１４のステップＳ２０２では、暗号文Ｃが値Ｃ［１］，．．．，値Ｃ［ｃ］の“ｃ”個に分割された。分割数ｃは、この“ｃ”個を表す。
　平文要素生成部４４は、分割数ｃが１である場合には、処理をステップＳ２４５に進める。一方、平文要素生成部４４は、分割数ｃが１でない場合には、処理をステップＳ２４４に進める。

　（ステップＳ２４４）
　平文要素生成部４４は、ｉ＝１，．．．，ｃ－１の各整数ｉについて昇順に、（１）から（３）を実行する。
　（１）平文要素生成部４４は、値Ｔ［ｉ－１］を鍵として値Ｂ［ｉ－１］をブロック暗号Ｅによって暗号化して値Ｂ［ｉ］を生成する。
　（２）平文要素生成部４４は、値Ｃ［ｉ］と値Ｂ［ｉ］とから値Ｍ［ｉ］を生成する。具体的には、平文要素生成部４４は、値Ｃ［ｉ］と値Ｂ［ｉ］との排他的論理和を計算して、値Ｍ［ｉ］を生成する。
　（３）平文要素生成部４４は、値Ｔ［ｉ－１］を置換関数Ｐで変換した値Ｐ（Ｔ［ｉ－１］）と、値Ｂ［ｉ］を置換関数Ｆで変換した値Ｆ（Ｂ［ｉ］）と、値Ｍ［ｉ］とからｎビットの値Ｔ［ｉ］を生成する。具体的には、平文要素生成部４４は、値Ｐ（Ｔ［ｉ－１］）と値Ｆ（Ｂ［ｉ］）と値Ｍ［ｉ］との排他的論理和を計算して、値Ｔ［ｉ］を生成する。

　（ステップＳ２４５）
　平文要素生成部４４は、値Ｔ［ｃ－１］を鍵として値Ｂ［ｃ－１］をブロック暗号Ｅによって暗号化して値Ｂ［ｃ］を生成する。

　（ステップＳ２４６）
　平文要素生成部４４は、値Ｃ［ｃ］のビット長がｎである場合には、値Ｂ［ｃ］を置換関数Ｒを１回適用して変換した値Ｒ［１］（Ｂ［ｃ］）を値Ｒ（Ｂ［ｃ］）として生成する。一方、値Ｃ［ｃ］のビット長がｎでない場合には、値Ｂ［ｃ］を置換関数Ｒを２回適用して変換した値Ｒ［２］（Ｂ［ｃ］）を値Ｒ（Ｂ［ｃ］）として生成する。

　（ステップＳ２４７）
　平文要素生成部４４は、値Ｒ（Ｂ［ｃ］）の予め決められた位置の｜Ｃ［ｃ］｜ビットを抽出して値Ｂ’［ｃ］に設定する。例えば、平文要素生成部４４は、値Ｒ（Ｂ［ｃ］）のうち先頭の｜Ｃ［ｃ］｜ビットを値Ｂ’［ｃ］に設定する、あるいは、値Ｒ（Ｂ［ｃ］）のうち後ろの｜Ｃ［ｃ］｜ビットを値Ｂ’［ｃ］に設定する。

　（ステップＳ２４８）
　平文要素生成部４４は、値Ｃ［ｃ］と値Ｂ’［ｃ］とから値Ｍ［ｃ］を生成する。具体的には、平文要素生成部４４は、値Ｃ［ｃ］と値Ｂ’［ｃ］との排他的論理和を計算して、値Ｍ［ｃ］を生成する。

　（ステップＳ２４９）
　平文生成部４５は、ｉ＝１，．．．，ｃについての値Ｍ［ｉ］を結合して平文Ｍを生成する。例えば、平文生成部４５は、Ｍ＝Ｍ［１］｜｜Ｍ［２］｜｜．．．｜｜Ｍ［ｃ］を計算することにより、平文Ｍを生成する。ここで、｜｜は結合を表す。

　（ステップＳ２５０）
　平文要素生成部４４は、値Ｃ［ｃ］にビットをパディングして得られたｎビットの値Ｃ’［ｃ］を生成する。つまり、平文要素生成部４４は、Ｃ’［ｃ］＝ｐａｄ［ｎ］（Ｃ［ｃ］）を計算する。
　そして、平文要素生成部４４は、値Ｔ「ｃ－１］を置換関数Ｐで変換した値Ｐ（Ｔ［ｃ－１］）と、値Ｒ（Ｂ［ｃ］）を置換関数Ｆで変換した値Ｆ（Ｒ（Ｂ［ｃ］））と、値Ｃ’［ｃ］とから値Ｔ［ｃ］を生成する。具体的には、平文要素生成部４４は、値Ｐ（Ｔ［ｃ－１］）と値Ｆ（Ｒ（Ｂ［ｃ］））と値Ｃ’「ｃ］との排他的論理和を計算して、値Ｔ「ｃ］を生成する。

　（ステップＳ２５１）
　平文要素生成部４４は、値Ｔ［ｃ］を値Ｅｔに設定し、値Ｒ（Ｂ［ｃ］）を値Ｅｂに設定する。そして、平文要素生成部４４は、値Ｅｔ及び値Ｅｂを出力する。
　なお、暗号文Ｃのビット長が０である場合には、値Ｔ［０］が値Ｅｔに設定され、値Ｂ［０］が値Ｅｂに設定される。

　＜改ざん検知処理＞
　図１７及び図１８を参照して、実施の形態１に係る改ざん検知処理を説明する。
　ステップＳ２６１からステップＳ２６４の処理は、図１２のステップＳ１６１からステップＳ１６４の処理と同じである。つまり、認証子生成部４６によって、図１２のステップＳ１６１からステップＳ１６４の処理と同じ処理が行われ、認証子Ｔａｇが生成される。ここで生成された認証子Ｔａｇを認証子Ｔａｇ’と書く。

　（ステップＳ２６５）
　認証子生成部４６は、図１４のステップＳ２０１で取得された認証子Ｔａｇと、ステップＳ２６４で生成された認証子Ｔａｇ’とが一致した場合には、平文生成処理で生成された平文Ｍを出力する。一方、認証子生成部４６は、図１４のステップＳ２０１で取得された認証子Ｔａｇと、ステップＳ２６４で生成された認証子Ｔａｇ’とが一致しない場合には、“ｒｅｊｅｃｔ”を出力する。

　＊＊＊実施の形態１の効果＊＊＊
　以上のように、実施の形態１に係る暗号化装置１０及び復号装置３０は、認証暗号アルゴリズムを実現する。この認証暗号アルゴリズムでは、内部で更新されるメモリのサイズが２ｎビットである。これにより、この認証暗号アルゴリズムは、オンライン計算の安全性レベル及びオフライン計算の安全性レベルがともに最適のｎビットであり、メモリサイズが最小である２ｎビットとなるブロック暗号を用いた認証暗号アルゴリズムとなっている。

　なお、オンライン計算の安全性レベルを最適にするためには、認証暗号アルゴリズムの内部で更新されるメモリのサイズは、バースデーパラドックスより、２ｎビット以上必要である。特許文献１に記載された認証暗号アルゴリズムでは、内部で更新されるメモリのサイズがｎビットのため、オンライン計算の安全性レベルがｎ／２ビットとなる。非特許文献３認証暗号アルゴリズムでは、内部で更新されるメモリのサイズを３ｎビットのため、オンライン計算の安全性レベルがｎビットとなる。しかし、非特許文献３では、メモリサイズが３ｎビット必要になっており、最小ではない。

　図４を参照して、実施の形態１に係る暗号化装置１０及び復号装置３０によって実現される認証暗号アルゴリズムでは、内部で更新されるメモリのサイズが２ｎビットとなることを説明する。
　図４に示す処理の開始時において、値Ｙが格納されているメモリをメモリ１、値Ｘが格納されているメモリをメモリ２とする。
　まず、Ｕ＝Ｅ（Ｙ，Ｘ）が計算される。すると、メモリ１には、値Ｕが格納され、メモリ２には、アップデートされた値Ｙが格納される。ここで、暗号化関数Ｅの内部のメモリサイズは２ｎビットであり、メモリ２の値を巻き戻して元の値Ｙを復元可能であるという条件が成立するものとする。この条件は、ＡＥＳといった現在提案されているほぼすべてのブロック暗号のアルゴリズムが満たしている条件である。
　次に、メモリ２の値から元の値Ｙが復元される。すると、メモリ１には、値Ｕが格納され、メモリ２には、元の値Ｙが格納される。次に、置換関数Ｐを用いて値Ｙを変換した値Ｐ（Ｙ）が計算され、置換関数Ｇ及び置換関数Ｆを用いて値Ｕを変換した値Ｆ（Ｇ（Ｕ））が計算される。すると、メモリ１には、値Ｆ（Ｇ（Ｕ））が格納され、メモリ２には、値Ｐ（Ｙ）が格納される。次に、値Ｐ（Ｙ）と値Ｆ（Ｇ（Ｕ））との排他的論理和が計算され、値Ｗが得られる。すると、メモリ１には、値Ｗが格納され、メモリ２には、値Ｐ（Ｙ）が格納される。最後に、値Ｆ（Ｇ（Ｕ））から置換関数Ｆの逆の計算がされ、値Ｚ＝Ｇ（Ｕ）が復元される。すると、メモリ１には、値Ｗが格納され、メモリ２には、値Ｚが格納される。
　以上のように、図４の処理は、サイズが２ｎビットのメモリを用いて計算が可能である。実施の形態１では、認証暗号アルゴリズムは、図４の処理を繰り返し実行することにより実現される。したがって、認証暗号アルゴリズムは、サイズが２ｎビットのメモリを用いて計算が可能である。

　＊＊＊他の構成＊＊＊
　＜変形例１＞
　実施の形態１では、各機能構成要素がソフトウェアで実現された。しかし、変形例１として、各機能構成要素はハードウェアで実現されてもよい。この変形例１について、実施の形態１と異なる点を説明する。

　図１９を参照して、変形例１に係る暗号化装置１０の構成を説明する。
　各機能構成要素がハードウェアで実現される場合には、暗号化装置１０は、プロセッサ１１とメモリ１２とストレージ１３とに代えて、電子回路１５を備える。電子回路１５は、各機能構成要素と、メモリ１２と、ストレージ１３との機能とを実現する専用の回路である。

　図２０を参照して、変形例１に係る復号装置３０の構成を説明する。
　各機能構成要素がハードウェアで実現される場合には、復号装置３０は、プロセッサ３１とメモリ３２とストレージ３３とに代えて、電子回路３５を備える。電子回路３５は、各機能構成要素と、メモリ３２と、ストレージ３３との機能とを実現する専用の回路である。

　電子回路１５，３５としては、単一回路、複合回路、プログラム化したプロセッサ、並列プログラム化したプロセッサ、ロジックＩＣ、ＧＡ（Ｇａｔｅ　Ａｒｒａｙ）、ＡＳＩＣ（Ａｐｐｌｉｃａｔｉｏｎ　Ｓｐｅｃｉｆｉｃ　Ｉｎｔｅｇｒａｔｅｄ　Ｃｉｒｃｕｉｔ）、ＦＰＧＡ（Ｆｉｅｌｄ－Ｐｒｏｇｒａｍｍａｂｌｅ　Ｇａｔｅ　Ａｒｒａｙ）が想定される。

　各機能構成要素を１つの電子回路１５，３５で実現してもよいし、各機能構成要素を複数の電子回路１５，３５に分散させて実現してもよい。
　例えば、図２１に示すように、暗号化装置１０は、電子回路１５として、ブロック暗号Ｅを計算するブロック暗号プロセッサと、分割処理を行う分割処理プロセッサと、初期値生成処理を行う初期値生成処理プロセッサと、公開データ処理を行う公開データ処理プロセッサと、暗号文生成処理を行う暗号文生成処理プロセッサと、認証子生成処理を行う認証子生成処理プロセッサとを備える構成とすることが考えられる。同様に、図２２に示すように、復号装置３０は、電子回路３５として、ブロック暗号Ｅを計算するブロック暗号プロセッサと、分割処理を行う分割処理プロセッサと、初期値生成処理を行う初期値生成処理プロセッサと、公開データ処理を行う公開データ処理プロセッサと、平文生成処理を行う平文生成処理プロセッサと、改ざん検知処理を行う改ざん検知処理プロセッサとを備える構成とすることが考えられる。

　＜変形例２＞
　変形例２として、一部の各機能構成要素がハードウェアで実現され、他の各機能構成要素がソフトウェアで実現されてもよい。

　プロセッサ１１，３１とメモリ１２，３２とストレージ１３，３３と電子回路１５，３５とを処理回路という。つまり、各機能構成要素の機能は、処理回路により実現される。

　なお、以上の説明における「部」を、「回路」、「工程」、「手順」、「処理」又は「処理回路」に読み替えてもよい。

　以上、本開示の実施の形態及び変形例について説明した。これらの実施の形態及び変形例のうち、いくつかを組み合わせて実施してもよい。また、いずれか１つ又はいくつかを部分的に実施してもよい。なお、本開示は、以上の実施の形態及び変形例に限定されるものではなく、必要に応じて種々の変更が可能である。

　１０　暗号化装置、１１　プロセッサ、１２　メモリ、１３　ストレージ、１４　入出力インタフェース、１５　電子回路、２１　分割部、２２　初期値生成部、２３　公開データ処理部、２４　暗号要素生成部、２５　暗号文生成部、２６　認証子生成部、３０　復号装置、３１　プロセッサ、３２　メモリ、３３　ストレージ、３４　入出力インタフェース、３５　電子回路、４１　分割部、４２　初期値生成部、４３　公開データ処理部、４４　平文要素生成部、４５　平文生成部、４６　認証子生成部。

Claims (18)

1. 　平文Ｍを順にｎビット毎に分割して値Ｍ［１］，．．．，値Ｍ［ｍ］を生成する分割部と、
   　ｎビットの値Ｈｔを値Ｔ［０］とし、ｎビットの値Ｈｂを値Ｂ［０］として、ｉ＝１，．．．，ｍの各整数ｉについて昇順に、値Ｔ［ｉ－１］を鍵として値Ｂ［ｉ－１］をブロック暗号によって暗号化してｎビットの値Ｂ［ｉ］を生成し、値Ｂ［ｉ］と、前記分割部によって生成された値Ｍ［ｉ］とから値Ｃ［ｉ］を生成し、値Ｔ［ｉ－１］を置換関数Ｐで変換した値Ｐ（Ｔ［ｉ－１］）と、前記値Ｂ［ｉ］を置換関数Ｆで変換した値Ｆ（Ｂ［ｉ］）と、前記値Ｃ［ｉ］とからｎビットの値Ｔ［ｉ］を生成する暗号要素生成部と、
   　前記暗号要素生成部によって生成されたｉ＝１，．．．，ｍについての値Ｃ［ｉ］を結合して暗号文Ｃを生成する暗号文生成部と、
   　値Ｔ［ｍ］と値Ｂ［ｍ］とから前記暗号文生成部によって生成された前記暗号文Ｃの改ざんを検知するための認証子Ｔａｇを生成する認証子生成部と
   を備える暗号化装置。
2. 　前記暗号要素生成部は、ｉ＝１，．．．，ｍ－１の各整数ｉについて昇順に、前記値Ｂ［ｉ］と前記値Ｍ［ｉ］との排他的論理和を計算して前記値Ｃ［ｉ］を生成し、前記値Ｂ［ｍ］を置換関数Ｒによって変換した値Ｒ（Ｂ［ｍ］）から前記値Ｍ［ｍ］のビット長｜Ｍ［ｍ］｜だけ抽出した値Ｂ’［ｍ］と前記値Ｍ［ｍ］との排他的論理和を計算して値Ｃ［ｍ］を生成する
   請求項１に記載の暗号化装置。
3. 　前記認証子生成部は、前記値Ｔ［ｍ］を鍵として前記値Ｂ［ｍ］をブロック暗号によって暗号化してｎビットの値Ｂ［ｍ＋１］を生成し、前記値Ｔ［ｍ］を置換関数Ｐで変換した値Ｐ（Ｔ［ｍ］）と、値Ｂ［ｍ＋１］を置換関数Ｆで変換した値Ｆ（Ｂ［ｍ＋１］）とから前記認証子Ｔａｇを生成する
   請求項１又は２に記載の暗号化装置。
4. 　前記認証子生成部は、前記値Ｔ［ｍ］を鍵として前記値Ｂ［ｍ］をブロック暗号によって暗号化してｎビットの値Ｂ［ｍ＋１］を生成し、前記値Ｂ［ｍ＋１］を前記認証子Ｔａｇに設定する
   請求項１又は２に記載の暗号化装置。
5. 　前記分割部は、公開データＡを順に２ｎビット毎に分割して値Ａ［１］，．．．，値Ａ［ａ］を生成し、
   　前記暗号化装置は、さらに、
   　ｎビットの値ＩＶｔを値Ｔ^＊［０］とし、ｎビットの値ＩＶｂを値Ｂ^＊［０］として、ｉ＝１，．．．，ａ－１の各整数ｉについて昇順に、値Ｔ^＊［ｉ－１］を鍵として値Ｂ^＊［ｉ－１］をブロック暗号によって暗号化して得られた値Ｅ（Ｂ^＊［ｉ－１］）と、値Ａ［ｉ］のうちのｎビットの値Ａ［ｉ，ｂ］とからｎビットの値Ｂ^＊［ｉ］を生成し、値Ｔ^＊［ｉ－１］を置換関数Ｐで変換した値Ｐ（Ｔ^＊［ｉ－１］）と、値Ｅ（Ｂ^＊［ｉ－１］）を置換関数Ｆで変換した値Ｆ（Ｅ（Ｂ^＊［ｉ－１］））と、値Ａ［ｉ］のうちの前記値Ａ［ｉ，ｂ］以外のｎビットである値Ａ［ｉ，ｔ］とからｎビットの値Ｔ^＊［ｉ］を生成し、値Ｔ^＊［ａ－１］と値Ｂ^＊［ａ－１］と値Ａ［ａ］とから前記値Ｈｔと前記値Ｈｂとを生成する公開データ処理部
   を備える請求項１から４までのいずれか１項に記載の暗号化装置。
6. 　前記公開データ処理部は、前記値Ｔ^＊［ａ－１］を鍵として値Ｂ^＊［ａ－１］をブロック暗号によって暗号化して得られた値Ｅ（Ｂ^＊［ａ－１］）を置換関数Ｑによって変換した値Ｑ（Ｅ（Ｂ^＊［ａ－１］））と、前記値Ａ［ａ］にビットをパディングして得られた２ｎビットの値Ａ’［ａ］のうちのｎビットの値Ａ’［ａ，ｂ］とから前記値Ｂｔを生成し、前記値Ｑ（Ｅ（Ｂ^＊［ａ－１］））を置換関数Ｆで変換した値Ｆ（値Ｑ（Ｅ（Ｂ^＊［ａ－１］）））と、値Ａ’［ａ］のうちの前記値Ａ’［ａ，ｂ］以外のｎビットである値Ａ’［ａ，ｔ］とから前記値Ｈｔを生成する
   請求項５に記載の暗号化装置。
7. 　前記暗号化装置は、さらに、
   　ｎビットの鍵Ｋを用いて、ｎビットのナンスＮをブロック暗号Ｅによって暗号化して得られた値Ｅ（Ｎ）と、前記公開データＡと前記平文Ｍとに応じた値ｉｄとから前記値ＩＶｂを生成し、鍵Ｋを置換関数Ｐで変換した値Ｐ（Ｋ）と、前記値Ｅ（Ｎ）を置換関数Ｆで変換した値Ｆ（Ｅ［Ｎ］）とから前記値ＩＶｔを生成する初期値生成部
   を備える請求項５又は６に記載の暗号化装置。
8. 　暗号文Ｃを順にｎビット毎に分割して値Ｃ［１］，．．．，値Ｃ［ｃ］を生成する分割部と、
   　ｎビットの値Ｈｔを値Ｔ［０］とし、ｎビットの値Ｈｂを値Ｂ［０］として、ｉ＝１，．．．，ｃの各整数ｉについて昇順に、値Ｔ［ｉ－１］を鍵として値Ｂ［ｉ－１］をブロック暗号によって暗号化してｎビットの値Ｂ［ｉ］を生成し、値Ｂ［ｉ］と、前記分割部によって生成された値Ｃ［ｉ］とから値Ｍ［ｉ］を生成し、値Ｔ［ｉ－１］を置換関数Ｐで変換した値Ｐ（Ｔ［ｉ－１］）と、前記値Ｂ［ｉ］を置換関数Ｆで変換した値Ｆ（Ｂ［ｉ］）と、前記値Ｃ［ｉ］とからｎビットの値Ｔ［ｉ］を生成する平文要素生成部と、
   　前記平文要素生成部によって生成されたｉ＝１，．．．，ｃについての値Ｍ［ｉ］を結合して平文Ｍを生成する平文生成部と、
   　値Ｔ［ｃ］と値Ｂ［ｃ］とから前記平文生成部によって生成された前記平文Ｍの改ざんを検知するための認証子Ｔａｇ’を生成する認証子生成部と
   を備える復号装置。
9. 　前記平文要素生成部は、ｉ＝１，．．．，ｃ－１の各整数ｉについて昇順に、前記値Ｂ［ｉ］と前記値Ｃ［ｉ］との排他的論理和を計算して前記値Ｍ［ｉ］を生成し、前記値Ｂ［ｃ］を置換関数Ｒによって変換した値Ｒ（Ｂ［ｃ］）から前記値Ｃ［ｃ］のビット長｜Ｃ［ｃ］｜だけ抽出した値Ｂ’［ｃ］と前記値Ｃ［ｃ］との排他的論理和を計算して値Ｍ［ｃ］を計算する
   請求項８に記載の復号装置。
10. 　前記認証子生成部は、前記値Ｔ［ｃ］を鍵として前記値Ｂ［ｃ］をブロック暗号によって暗号化してｎビットの値Ｂ［ｃ＋１］を生成し、前記値Ｔ［ｃ］を置換関数Ｐで変換した値Ｐ（Ｔ［ｃ］）と、値Ｂ［ｃ＋１］を置換関数Ｆで変換した値Ｆ（Ｂ［ｃ＋１］）とから前記認証子Ｔａｇ’を生成する
    請求項８又は９に記載の復号装置。
11. 　前記認証子生成部は、前記値Ｔ［ｃ］を鍵として前記値Ｂ［ｃ］をブロック暗号によって暗号化してｎビットの値Ｂ［ｃ＋１］を生成し、前記値Ｂ［ｃ＋１］を前記認証子Ｔａｇ’に設定する
    請求項８又は９に記載の復号装置。
12. 　前記分割部は、公開データＡを順に２ｎビット毎に分割して値Ａ［１］，．．．，値Ａ［ａ］を生成し、
    　前記復号装置は、さらに、
    　ｎビットの値ＩＶｔを値Ｔ^＊［０］とし、ｎビットの値ＩＶｂを値Ｂ^＊［０］として、ｉ＝１，．．．，ａ－１の各整数ｉについて昇順に、値Ｔ^＊［ｉ－１］を鍵として値Ｂ^＊［ｉ－１］をブロック暗号によって暗号化して得られた値Ｅ（Ｂ^＊［ｉ－１］）と、値Ａ［ｉ］のうちのｎビットの値Ａ［ｉ，ｂ］とからｎビットの値Ｂ^＊［ｉ］を生成し、値Ｔ^＊［ｉ－１］を置換関数Ｐで変換した値Ｐ（Ｔ^＊［ｉ－１］）と、値Ｅ（Ｂ^＊［ｉ－１］）を置換関数Ｆで変換した値Ｆ（Ｅ（Ｂ^＊［ｉ－１］））と、値Ａ［ｉ］のうちの前記値Ａ［ｉ，ｂ］以外のｎビットである値Ａ［ｉ，ｔ］とからｎビットの値Ｔ^＊［ｉ］を生成し、値Ｔ^＊［ａ－１］と値Ｂ^＊［ａ－１］と値Ａ［ａ］とから前記値Ｈｔと前記値Ｈｂとを生成する公開データ処理部
    を備える請求項８から１１までのいずれか１項に記載の復号装置。
13. 　前記公開データ処理部は、前記値Ｔ^＊［ａ－１］を鍵として値Ｂ^＊［ａ－１］をブロック暗号によって暗号化して得られた値Ｅ（Ｂ^＊［ａ－１］）を置換関数Ｑによって変換した値Ｑ（Ｅ（Ｂ^＊［ａ－１］））と、前記値Ａ［ａ］にビットをパディングして得られた２ｎビットの値Ａ’［ａ］のうちのｎビットの値Ａ’［ａ，ｂ］とから前記値Ｂｔを生成し、前記値Ｑ（Ｅ（Ｂ^＊［ａ－１］））を置換関数Ｆで変換した値Ｆ（値Ｑ（Ｅ（Ｂ^＊［ａ－１］）））と、値Ａ’［ａ］のうちの前記値Ａ’［ａ，ｂ］以外のｎビットである値Ａ’［ａ，ｔ］とから前記値Ｈｔを生成する
    請求項１２に記載の復号装置。
14. 　前記復号装置は、さらに、
    　ｎビットの鍵Ｋを用いて、ｎビットのナンスＮをブロック暗号Ｅによって暗号化して得られた値Ｅ（Ｎ）と、前記公開データＡと前記暗号文Ｃとに応じた値ｉｄとから前記値ＩＶｂを生成し、鍵Ｋを置換関数Ｐで変換した値Ｐ（Ｋ）と、前記値Ｅ（Ｎ）を置換関数Ｆで変換した値Ｆ（Ｅ［Ｎ］）とから前記値ＩＶｔを生成する初期値生成部
    を備える請求項１２又は１３に記載の復号装置。
15. 　コンピュータが、平文Ｍを順にｎビット毎に分割して値Ｍ［１］，．．．，値Ｍ［ｍ］を生成し、
    　コンピュータが、ｎビットの値Ｈｔを値Ｔ［０］とし、ｎビットの値Ｈｂを値Ｂ［０］として、ｉ＝１，．．．，ｍの各整数ｉについて昇順に、値Ｔ［ｉ－１］を鍵として値Ｂ［ｉ－１］をブロック暗号によって暗号化してｎビットの値Ｂ［ｉ］を生成し、値Ｂ［ｉ］と、値Ｍ［ｉ］とから値Ｃ［ｉ］を生成し、値Ｔ［ｉ－１］を置換関数Ｐで変換した値Ｐ（Ｔ［ｉ－１］）と、前記値Ｂ［ｉ］を置換関数Ｆで変換した値Ｆ（Ｂ［ｉ］）と、前記値Ｃ［ｉ］とからｎビットの値Ｔ［ｉ］を生成し、
    　コンピュータが、ｉ＝１，．．．，ｍについての値Ｃ［ｉ］を結合して暗号文Ｃを生成し、
    　コンピュータが、値Ｔ［ｍ］と値Ｂ［ｍ］とから前記暗号文Ｃの改ざんを検知するための認証子Ｔａｇを生成する暗号化方法。
16. 　平文Ｍを順にｎビット毎に分割して値Ｍ［１］，．．．，値Ｍ［ｍ］を生成する分割処理と、
    　ｎビットの値Ｈｔを値Ｔ［０］とし、ｎビットの値Ｈｂを値Ｂ［０］として、ｉ＝１，．．．，ｍの各整数ｉについて昇順に、値Ｔ［ｉ－１］を鍵として値Ｂ［ｉ－１］をブロック暗号によって暗号化してｎビットの値Ｂ［ｉ］を生成し、値Ｂ［ｉ］と、前記分割処理によって生成された値Ｍ［ｉ］とから値Ｃ［ｉ］を生成し、値Ｔ［ｉ－１］を置換関数Ｐで変換した値Ｐ（Ｔ［ｉ－１］）と、前記値Ｂ［ｉ］を置換関数Ｆで変換した値Ｆ（Ｂ［ｉ］）と、前記値Ｃ［ｉ］とからｎビットの値Ｔ［ｉ］を生成する暗号要素生成処理と、
    　前記暗号要素生成処理によって生成されたｉ＝１，．．．，ｍについての値Ｃ［ｉ］を結合して暗号文Ｃを生成する暗号文生成処理と、
    　値Ｔ［ｍ］と値Ｂ［ｍ］とから前記暗号文生成処理によって生成された前記暗号文Ｃの改ざんを検知するための認証子Ｔａｇを生成する認証子生成処理と
    を行う暗号化装置としてコンピュータを機能させる暗号化プログラム。
17. 　コンピュータが、暗号文Ｃを順にｎビット毎に分割して値Ｃ［１］，．．．，値Ｃ［ｃ］を生成し、
    　コンピュータが、ｎビットの値Ｈｔを値Ｔ［０］とし、ｎビットの値Ｈｂを値Ｂ［０］として、ｉ＝１，．．．，ｃの各整数ｉについて昇順に、値Ｔ［ｉ－１］を鍵として値Ｂ［ｉ－１］をブロック暗号によって暗号化してｎビットの値Ｂ［ｉ］を生成し、値Ｂ［ｉ］と、値Ｃ［ｉ］とから値Ｍ［ｉ］を生成し、値Ｔ［ｉ－１］を置換関数Ｐで変換した値Ｐ（Ｔ［ｉ－１］）と、前記値Ｂ［ｉ］を置換関数Ｆで変換した値Ｆ（Ｂ［ｉ］）と、前記値Ｃ［ｉ］とからｎビットの値Ｔ［ｉ］を生成し、
    　コンピュータが、ｉ＝１，．．．，ｃについての値Ｍ［ｉ］を結合して平文Ｍを生成し、
    　コンピュータが、値Ｔ［ｃ］と値Ｂ［ｃ］とから前記平文Ｍの改ざんを検知するための認証子Ｔａｇ’を生成する復号方法。
18. 　暗号文Ｃを順にｎビット毎に分割して値Ｃ［１］，．．．，値Ｃ［ｃ］を生成する分割処理と、
    　ｎビットの値Ｈｔを値Ｔ［０］とし、ｎビットの値Ｈｂを値Ｂ［０］として、ｉ＝１，．．．，ｃの各整数ｉについて昇順に、値Ｔ［ｉ－１］を鍵として値Ｂ［ｉ－１］をブロック暗号によって暗号化してｎビットの値Ｂ［ｉ］を生成し、値Ｂ［ｉ］と、前記分割処理によって生成された値Ｃ［ｉ］とから値Ｍ［ｉ］を生成し、値Ｔ［ｉ－１］を置換関数Ｐで変換した値Ｐ（Ｔ［ｉ－１］）と、前記値Ｂ［ｉ］を置換関数Ｆで変換した値Ｆ（Ｂ［ｉ］）と、前記値Ｃ［ｉ］とからｎビットの値Ｔ［ｉ］を生成する平文要素生成処理と、
    　前記平文要素生成処理によって生成されたｉ＝１，．．．，ｃについての値Ｍ［ｉ］を結合して平文Ｍを生成する平文生成処理と、
    　値Ｔ［ｃ］と値Ｂ［ｃ］とから前記平文生成処理によって生成された前記平文Ｍの改ざんを検知するための認証子Ｔａｇ’を生成する認証子生成処理と
    を行う復号装置としてコンピュータを機能させる復号プログラム。

Images