WO2022254511A1 - 暗号装置、方法、及びプログラム - Google Patents

Abstract

一実施形態に係る暗号装置は、ＳＰＮ型のラウンド関数を用いるブロック暗号により平文を暗号化又は暗号文を復号する暗号装置であって、前記ブロック暗号に応じて決定される所定のサイズの第１の置換表の中で最長の高確率チェーン長が最も短い第２の置換表に対して所定の変換を行うことで、前記ラウンド関数に含まれる非線形層で利用する第３の置換表を生成する置換表生成処理部と、生成された前記第３の置換表を用いて、前記ブロック暗号により前記暗号化又は前記復号を行う暗号処理部と、を有し、前記高確率チェーンは、各ラウンドにおいて、前記第１の置換表への２つの入力の差分を表す入力差分が与えられたときに、前記入力差分に対応する出力の差分を表す出力差分への遷移確率が最大となる差分の系列である。

Description

暗号装置、方法、及びプログラム

　本発明は、暗号装置、方法、及びプログラムに関する。

　平文をある鍵により暗号化し、その暗号文の復号でも同一の鍵を利用する暗号方式は共通鍵暗号と呼ばれており、共通鍵暗号の一種としてブロック暗号と呼ばれる方式が知られている。ブロック暗号とは、暗号化対象のデータをブロックと呼ばれる適当な長さ（例えば、６４ビットや１２８ビット）に分割し、そのブロックごとに暗号化する方式のことである。ブロック暗号には、例えば、ＡＥＳ暗号（非特許文献１）、ＳＫＩＮＮＹ暗号（非特許文献２）、Ｍｉｄｏｒｉ暗号（非特許文献３）等がある。このうち、ＳＫＩＮＮＹ暗号とＭｉｄｏｒｉ暗号は、計算リソースが貧弱なデバイス上での実装が想定されており、軽量暗号とも呼ばれる。

　ブロック暗号では、ラウンド関数と呼ばれる関数をブロックに対して複数回繰り返し適用することでそのブロックを暗号化する。ラウンド関数には、例えば、ＳＰＮ型ラウンド関数等が存在する。ＡＥＳ暗号、ＳＫＩＮＮＹ暗号、Ｍｉｄｏｒｉ暗号はいずれもＳＰＮ型ラウンド関数を用いるブロック暗号である。ＳＰＮ型ラウンド関数は、非線形層、線形層、副鍵ＸＯＲで構成されているラウンド関数である。

　ラウンド関数の繰り返し回数が多いほどデータが良く攪拌され安全性が高まるが、一方でラウンド関数の繰り返し回数が多いほど演算量が多くなり暗号処理の性能が低下する。したがって、安全性を確保できる範囲内で、ラウンド関数の繰り返し回数を最小する必要がある。このとき、ラウンド関数の繰り返し回数は様々な解読法に対する安全性評価の実施により決定されるが、差分解読法（非特許文献４）に対する評価が最も重要とされている。

Specification for the ADVANCED ENCRYPTION STANDARD(AES). U.S. DEPARTMENT OF COMMERCE/National Institute of Standards and Technology (2001), federal Information Processing Standards Publication 197 Christof Beierle, J´er´emy Jean, Stefan K¨olbl, Gregor Leander, AmirMoradi, Thomas Peyrin, Yu Sasaki, Pascal Sasdrich, SiangMeng Sim, "The SKINNY Family of Block Ciphers and Its Low-Latency Variant MANTIS," CRYPTO 2016 Part II, (eds.) Matthew Robshaw and Jonathan Katz, LNCS, Vol. 9815, pages 123-153, Springer, 2016. Subhadeep Banik, Andrey Bogdanov, Takanori Isobe, Kyoji Shibutani, Harunaga Hiwatari, Toru Akishita, Francesco Regazzoni,"Midori: A Block Cipher for Low Energy," Asiacrypt 2015 Part II, (eds.) Tetsu Iwata and Jung Hee Cheon, LNCS, Vol. 9453, pages 411-436, Springer, 2015. Eli Biham, Adi Shamir, "Differential Cryptanalysis of DES-like Cryptosystems," Journal of Cryptology, Vol. 4, No. 1, pages 3-72, 37 1991.

　しかしながら、軽量暗号は計算リソースが貧弱なデバイス上での実装が想定されているため、ＳＰＮ型ラウンド関数の非線形層や線形層で複雑な演算を実行することができない。このため、差分解読法に対する安全性を効率的に高めることが難しく、ラウンド関数の繰り返し回数が増加し、それに伴う暗号処理の性能低下が発生し得る。

　本発明の一実施形態は、上記の点に鑑みてなされたもので、ＳＰＮ型ラウンド関数を用いるブロック暗号の差分解読法に対する安全性を向上させることを目的とする。

　上記目的を達成するため、一実施形態に係る暗号装置は、ＳＰＮ型のラウンド関数を用いるブロック暗号により平文を暗号化又は暗号文を復号する暗号装置であって、前記ブロック暗号に応じて決定される所定のサイズの第１の置換表の中で最長の高確率チェーン長が最も短い第２の置換表に対して所定の変換を行うことで、前記ラウンド関数に含まれる非線形層で利用する第３の置換表を生成する置換表生成処理部と、生成された前記第３の置換表を用いて、前記ブロック暗号により前記暗号化又は前記復号を行う暗号処理部と、を有し、前記高確率チェーンは、各ラウンドにおいて、前記第１の置換表への２つの入力の差分を表す入力差分が与えられたときに、前記入力差分に対応する出力の差分を表す出力差分への遷移確率が最大となる差分の系列である。

　ＳＰＮ型ラウンド関数を用いるブロック暗号の差分解読法に対する安全性を向上させることができる。

Ｍｉｄｏｒｉ６４暗号のＳ－Ｂｏｘの差分分布表を示す図である。 Ｍｉｄｏｒｉ６４暗号の高確率チェーンを示す図である。 最長の高確率チェーン長が２となるＳ－Ｂｏｘの差分分布表の一例を示す図である。 最長の高確率チェーン長が２となるＳ－Ｂｏｘの高確率チェーンの一例を示す図である。 本実施形態に係る暗号装置のハードウェア構成の一例を示す図である。 本実施形態に係る暗号装置の機能構成の一例を示す図である。 本実施形態に係る置換表生成処理及び暗号処理の一例を説明するための図である。 Ｍｉｄｏｒｉ６４暗号とそのＳ－Ｂｏｘを式（３）に置き換えた場合との比較例を示す図である。 ＳＫＩＮＮＹ６４暗号とそのＳ－Ｂｏｘを式（３）に置き換えた場合との比較例を示す図である。

　以下、本発明の一実施形態について説明する。

　＜理論的構成＞
　以下、本実施形態で提案する手法の理論的構成とその説明に必要な各種技術や概念等について説明する。

　　≪差分解読法≫
　差分解読法では、ある平文とそれを暗号化した暗号文との組（Ｐ，Ｃ）と別の組（Ｐ'，Ｃ'）とがあるとき、２つの組の差分に注目する。２つのデータの差分Δは、排他的論理和

で定義される。平文の差分ΔＰは

であり、暗号文の差分ΔＣは

である。

　ブロック暗号のブロック長をｎビットとする。理想的なブロック暗号の場合は、特定の平文差分ΔＰを持つ２つの平文に対して、特定の暗号文差分ΔＣを持つ２つの暗号文が出力される確率は２^－ｎである。

　攻撃対象となるブロック暗号の攪拌アルゴリズムに偏りがあり、上記の確率が２^－ｎより大きいΔＰ、ΔＣが存在するとき、ブロック暗号は差分解読法に対して脆弱であるとみなされる。なお、逆に、ブロック暗号の設計者は任意のΔＰ、ΔＣに対して、上記の確率が２^－ｎより小さくなることを目指す。

　上記の確率が２^－ｎより大きいΔＰ、ΔＣが存在するかどうかは、ラウンド関数の構成方法と、ラウンド関数の繰り返し回数とに依存する。

　　≪ＳＰＮ型ラウンド関数≫
　ラウンド関数の構成方法の１つとしてＳＰＮ型が知られている。

　ＳＰＮ型のラウンド関数を用いるブロック暗号では、１ブロックのデータを複数の短い長さのデータに分割する。分割された短い長さのデータをバイトと呼ぶ。

　例えば、ＡＥＳ暗号はブロック長が１２８ビットであり、１２８ビットの入力を１６個の８ビットの値に分割する。つまり、１２８ビットの入力をバイト長８ビットの１６バイトに分割する。

　また、ブロック長が１２８ビットであるＳＫＩＮＮＹ１２８暗号（非特許文献２）は１２８ビットの入力をバイト長８ビットの１６バイトに分割し、ブロック長が６４ビットであるＳＫＩＮＮＹ６４暗号（非特許文献２）及びＭｉｄｏｒｉ６４暗号（非特許文献３）は６４ビットの入力をバイト長４ビットの１６バイトに分割する。

　このようにバイトごとに分割された入力データ（平文）に対して、ＳＰＮ型ラウンド関数を繰り返し適用して暗号文を生成する。なお、暗号文を復号する際も同様に、入力データ（暗号文）に対して、ＳＰＮ型ラウンド関数を繰り返し適用して平文を生成する。

　ＳＰＮ型ラウンド関数は、非線形層、線形層、副鍵ＸＯＲで構成される。

　非線形層では、入出力が非線形関数で表現される変換を各バイトに適用する。すべての入力値（バイト長が４ビットなら１６個、８ビットなら２５６個の入力値）に対してその入力値に対応する出力値を記録したＳ－Ｂｏｘと呼ばれる置換表を作っておき、非線形層では、このＳ－Ｂｏｘに従ってデータを変換する。

　線形層では、非線形層によって変換された各出力に線形変換を適用する。例えば、Ｍｉｄｏｒｉ６４暗号では、１６個のバイトを４×４の行列で表現し、ＳｈｕｆｆｌｅＣｅｌｌ関数と呼ばれるバイト位置の入れ替えを行い、次にＭｉｘＣｏｌｕｍｎｓ関数と呼ばれる行列処理を行う。以下にＭｉｄｏｒｉ６４暗号のＳｈｕｆｆｌｅＣｅｌｌ関数とＭｉｘＣｏｌｕｍｎｓ関数を示す。

　なお、ｄ_０～ｄ_１５はバイト長が４ビットである１バイトの値を取る変数である。

　Ｍｉｄｏｒｉ６４暗号のＳｈｕｆｆｌｅＣｅｌｌ関数はバイト位置の入れ替えであり、ＭｉｘＣｏｌｕｍｎｓ関数はバイト単位の排他的論理和で表現される。このとき、線形層はバイト単位の排他的論理和とバイト位置の入れ替えで構成されている、と呼ぶ。

　副鍵ＸＯＲでは、鍵（共通鍵又は共有鍵等とも呼ばれる。）を鍵スケジュール関数に入力し、副鍵と呼ばれる値をラウンド関数の繰り返し回数分得て、線形層の出力を、各ラウンドの副鍵との排他的論理和をとった値に更新する。副鍵ＸＯＲの存在は差分解読法の確率の計算に影響しないことが知られているため、詳細な説明は省略する。

　　≪差分特性確率≫
　ＳＰＮ型ラウンド関数で平文差分ΔＰを持つ２つの平文から暗号文差分ΔＣを持つ２つの暗号文が得られる確率を計算する際、通常、各ラウンド後の差分値を定め、各ラウンドの差分遷移確率の積で評価する。

　すなわち、ラウンド関数の繰り返し回数をｒとし、２つの平文の差分をΔ_０、ｉラウンド後の差分（ｉ＝１，２，・・・，ｒ）をΔ_ｒとする。また、ＤＰ_Ｆ［Δ_Ａ，Δ_Ｂ］を、差分Δ_Ａを持つ２入力が関数Ｆ適用後に差分Δ_Ｂを持つ２入力に変換される確率（差分遷移確率）とする。このとき、差分特性（Δ_０，Δ_１，・・・，Δ_ｒ）の差分特性確率ＤＣＰ［Δ_０，Δ_ｒ］は以下で計算される。

　したがって、ブロック暗号の設計者は、ブロック長がｎビットのとき、ＤＣＰ［Δ_０，Δ_ｒ］が２^－ｎよりも小さいことを保証しなければならない。

　実装性能を考慮すると、ラウンド関数の繰り返し回数をできるだけ少なくし、差分特性確率をできるだけ小さくする設計が優れた設計である。

　任意の線形変換に対して、ある差分Δ_ｉｎを持つ２入力が与えられたとき、その２入力に対応する２出力の差分Δ_ｏｕｔは確率１で定まる。したがって、線形層単独では差分解読法に対する安全性は向上しない。以下、ある層、変換、関数等に入力される差分Δ_ｉｎを入力差分、それに対応して出力される差分Δ_ｏｕｔを出力差分という。

　一方で、非線形変換の場合、ある入力差分Δ_ｉｎからある出力差分Δ_ｏｕｔへの遷移は確率的であり、その確率は非線形変換の仕様に依存する。ＳＰＮ型ラウンド関数では、非線形変換の仕様とはＳ－Ｂｏｘの仕様のことである。

　このような性質から既存の設計の多くは線形変換の詳細は無視し、Ｓ－Ｂｏｘの最大差分遷移確率を最小化するように設計している。Ｓ－Ｂｏｘの最大差分遷移確率は、入力差分Δ_ｉｎと出力差分Δ_ｏｕｔの全組み合わせにおいて、その差分遷移が満たされる回数を数え上げ、確率（Ｓ－Ｂｏｘの差分遷移確率）を計算する。具体的には、ｓをＳ－Ｂｏｘのサイズとし、Δ_ｉｎとΔ_ｏｕｔの全組み合わせに対して以下を計算する。

　なお、Ｓ－Ｂｏｘのサイズｓとは、Ｓ－Ｂｏｘの入出力値のビット数のことである。例えば、４ビットの入出力値を取るＳ－Ｂｏｘのサイズはｓ＝４であり、８ビットの入出力値を取るＳ－Ｂｏｘのサイズはｓ＝８である。

　差分がない状況に相当するΔ_ｉｎ＝Δ_ｏｕｔ＝０の場合を除くすべての（Δ_ｉｎ，Δ_ｏｕｔ）の中で最も確率が高いものがＳ－Ｂｏｘの最大差分遷移確率である。

　　≪線形解読法≫
　差分解読法と同等に重要な解読法として線形解読法が知られており、最大差分遷移確率に対応するものとして最大線形遷移確率がある。最大差分遷移確率と最大線形遷移確率がともに最小となる４ビットのＳ－Ｂｏｘは、以下の表１に示す１６個のＳ－Ｂｏｘの入出力にアフィン変換をかけたものしか存在しないことが知られている。

　Ｓ－Ｂｏｘの入出力にアフィン変換をかけて生成された新しいＳ－Ｂｏｘは、元のＳ－Ｂｏｘとアフィン等価であるという。最大差分遷移確率と最大線形遷移確率はアフィン等価なＳ－Ｂｏｘにおいて常に一致することが知られている。Ｍｉｄｏｒｉ６４暗号を含む４ビットＳ－Ｂｏｘを用いる既存の設計の多くは、表１に示す１６個のＳ－ＢｏｘのいずれかのＳ－Ｂｏｘとアフィン等価なＳ－Ｂｏｘを用いている。

　図１に、Ｍｉｄｏｒｉ６４暗号で実際に用いられているＳ－Ｂｏｘについて、入力差分Δ_ｉｎと出力差分Δ_ｏｕｔの全組み合わせについて式（１）の分子の値（つまり、Δ_ｉｎからΔ_ｏｕｔへの差分遷移の出現回数）を計算したものを示す。これは差分分布表と呼ばれる。入力差分Δ_ｉｎから出力差分Δ_ｏｕｔへ遷移する確率（Ｓ－Ｂｏｘの差分遷移確率）は、差分分布表の値を２^４で割ったものである。図１においてΔ_ｉｎ＝Δ_ｏｕｔ＝０の場合を除いた最大値は４であるため、Ｓ－Ｂｏｘの最大差分遷移確率は４／２^４＝２^－２であることがわかる。

　　≪提案手法≫
　ＳＫＩＮＮＹ暗号やＭｉｄｏｒｉ暗号のような軽量暗号は、ＩｏＴ機器等の比較的計算リソースが貧弱なデバイス上での実装が想定されているため、ＳＰＮ型ラウンド関数の非線形層や線形層で複雑な演算を実行することができない。このため、差分解読法に対する安全性を効率的に高めることが難しく、ラウンド関数の繰り返し回数が増加し、それに伴う暗号処理の性能低下が発生し得る。

　そこで、以下では、ＳＫＩＮＮＹ暗号やＭｉｄｏｒｉ暗号のようにＳＰＮ型ラウンド関数の線形層がバイト単位の排他的論理和とバイト位置の入れ替えのみで構成されている場合に、既存の設計よりも少ない繰り返し回数で差分特性確率を小さくすることが可能な手法について説明する。本提案手法では、線形層がバイト単位の排他的論理和とバイト位置の入れ替えで構成されたＳＰＮ型ラウンド関数を用いるブロック暗号にとって有効な性質を満たす置換表（Ｓ－Ｂｏｘ）を利用する。

　ＳＰＮ型ラウンド関数の線形層がバイト単位の排他的論理和とバイト位置の入れ替えのみで構成されている場合、線形層の入出力で差分を持つバイト数の和が最小化されるのは、差分を持つ各バイトの差分がすべて同一のときに限られる、という性質を持つ。

　差分特性確率は、多くの場合において、線形層の入出力で、差分を持つバイトの数の和が最小化されるとき、最大化される性質を持つ。したがって、差分特性確率が最大化される差分特性では、線形層の入出力で、各バイトごとの差分がすべて一致する場合が多い。

　上記の性質を考慮して、以下の性質を満たす置換表（Ｓ－Ｂｏｘ）を用いることで、差分解読法に対する安全性の向上が期待できる。

　Ｓ－Ｂｏｘの差分遷移確率の中で高確率な値を取る（Δ_ｉｎ，Δ_ｏｕｔ）にのみ注目する。このような入力差分と出力差分のペア（Δ_ｉｎ，Δ_ｏｕｔ）を高確率伝搬と呼ぶ。ある差分Δ_ｉが高確率で差分Δ_ｉ＋１に伝搬し、Δ_ｉ＋１が高確率で差分Δ_ｉ＋２に伝搬し、更にΔ_ｉ＋２が高確率で差分Δ_ｉ＋３に伝搬する、というような高確率伝搬の連鎖（チェーン）を考える。そのようなチェーン（Δ_０，Δ_１，・・・，Δ_Ｌ）を高確率チェーンと呼び、このときの高確率チェーンの長さをＬとする。なお、チェーンは系列等と呼ばれてもよい。

　本提案手法では、全ての高確率チェーンのうち、その最長の長さが最も短いＳ－Ｂｏｘを利用する。なお、既存の暗号方式の設計で高確率チェーンに着目したものは存在しないと考えられる。

　Ｍｉｄｏｒｉ６４暗号で用いられているＳ－Ｂｏｘの高確率チェーンを図２に示す。図２に示す高確率チェーンは、図１の差分分布表（つまり、Ｍｉｄｏｒｉ６４暗号で用いられているＳ－Ｂｏｘの差分分布表）で出現回数が４となっている差分伝搬が高確率伝搬である。

　図２に示すように、Ｍｉｄｏｒｉ６４暗号で用いられているＳ－Ｂｏｘの場合、例えば、入力差分１は出力差分２に高確率で遷移する。同様に、入力差分２は出力差分４、９、Ｃ、１に高確率で遷移する。また、同様に、入力差分４、９、Ｃは出力差分２に高確率で遷移する。同様に、入力差分２は出力差分１に高確率で遷移する。

　図２中でｉｔｅｒａｔｅは繰り返し（ループ）をなしていることを表している。例えば、「１→２→１→２→１→・・・」とループなしている。したがって、Ｍｉｄｏｒｉ６４暗号で用いられているＳ－Ｂｏｘの最長の高確率チェーンは無限長である。

　最長の高確率チェーン長が短いＳ－Ｂｏｘを利用することで、差分解読法に対する安全性の向上が期待できる。Ｍ_ｉｎ×Ｍ_ｏｕｔが単位行列となるＭ_ｉｎ及びＭ_ｏｕｔにおいて、以下の関係を満たす２つのＳ－Ｂｏｘ　ＳとＳ'は同一の高確率チェーン長を持つ。

　ここで、ｃ_ｉｎ及びｃ_ｏｕｔはＳ－Ｂｏｘ　Ｓ及びＳ'のサイズの同一の任意の定数であり、予め設定される。例えば、Ｓ－Ｂｏｘ　Ｓ及びＳ'のサイズが４ビットである場合、ｃ_ｉｎ及びｃ_ｏｕｔは０～１５のいずれか値を設定することができる。なお、ｃ_ｉｎとｃ_ｏｕｔはそれぞれ独立であり、ｃ_ｉｎ＝ｃ_ｏｕｔであってもよいし、ｃ_ｉｎ≠ｃ_ｏｕｔであってもよい。

　４ビットのＳ－Ｂｏｘにおいて、表１に示した１６個のＳ－Ｂｏｘとアフィン等価なすべてのＳ－Ｂｏｘの高確率チェーン長を調査した結果、最長の高確率チェーン長が最も短い場合は２であった。したがって、最長の高確率チェーン長が２であるＳ－Ｂｏｘが最適なＳ－Ｂｏｘであるといえる。

　以下の表２に、最長の高確率チェーン長が２である４０個のＳ－Ｂｏｘを示す。

　表２では、Ｇ_７とアフィン等価な１０個のＳ－ＢｏｘがＧ_７の下に記載されている。同様に、Ｇ_１１とアフィン等価な１０個のＳ－ＢｏｘがＧ_１１の下に記載されており、Ｇ_１２とアフィン等価な２０個のＳ－ＢｏｘがＧ_１２の下に記載されている。なお、あるＳ－Ｂｏｘとアフィン等価なＳ－Ｂｏｘは同一クラスに属するともいう。以下では、表２のＧ_７の下に記載されている１０個のＳ－ＢｏｘをＧ_７クラスに属するＳ－Ｂｏｘ、Ｇ_１１の下に記載されている１０個のＳ－ＢｏｘをＧ_１１クラスに属するＳ－Ｂｏｘ、Ｇ_１２の下に記載されている２０個のＳ－ＢｏｘをＧ_１２クラスに属するＳ－Ｂｏｘという。

　表２に示す４０個のＳ－Ｂｏｘに対して式（２）に示す変換を施したＳ－Ｂｏｘの最長の高確率チェーン長もすべて２となる（ただし、式（２）に示す変換を用いる際には、Ｍ_ｉｎ×Ｍ_ｏｕｔが単位行列となるＭ_ｉｎ及びＭ_ｏｕｔを用いる。）。

　したがって、ＳＫＩＮＮＹ６４暗号やＭｉｄｏｒｉ６４暗号で用いるＳ－Ｂｏｘを、表２に示す４０個のＳ－Ｂｏｘのいずれかを式（２）で変換したものに置き換えることで、同一のラウンド関数の繰り返し回数でも、差分解読法に対する安全性を向上させることができる。

　ここで、表２に示すＧ_７クラスに属するＳ－Ｂｏｘ｛０ｘ０，０ｘ４，０ｘ２，０ｘＢ，０ｘＡ，０ｘＣ，０ｘ９，０ｘ８，０ｘ５，０ｘＦ，０ｘＤ，０ｘ３，０ｘ７，０ｘ１，０ｘ６，０ｘＥ｝を式（２）で変換したＳ－Ｂｏｘの具体例を以下に示す。これは、最長の高確率チェーン長が２である４ｂｉｔのＳ－Ｂｏｘの１つである。なお、式（２）で変換する際にはＭ_ｉｎ＝０ｘ０５ＥＢＣ９２７ＡＦ４１６３８Ｄ、Ｍ_ｏｕｔ＝０ｘ０Ｂ６ＤＡ１Ｃ７Ｅ５８３４Ｆ２９、ｃ_ｉｎ＝５、ｃ_ｏｕｔ＝３とした。

　このＳ－Ｂｏｘの差分分布表を図３、高確率チェーンを図４に示す。

　図３及び図４に示すように、どの入力差分から始めても、高確率伝搬が継続できるのは高々２回までである。

　なお、本実施形態では、主に、ＳＰＮ型ラウンド関数の非線形層で４ビットのＳ－Ｂｏｘを用いるブロック暗号（特に、ＳＫＩＮＮＹ６４暗号やＭｉｄｏｒｉ６４暗号等の軽量暗号）を対象に説明したが、ＳＰＮ型ラウンド関数の非線形層で任意のサイズのＳ－Ｂｏｘを用いるブロック暗号に対しても同様に適用可能であることは言うまでもない。

　＜暗号装置１０のハードウェア構成＞
　次に、本提案手法で説明したＳ－Ｂｏｘを非線形層で利用するＳＰＮ型ラウンド関数を用いるブロック暗号により暗号処理（暗号化、復号、又はその両方）を行う暗号装置１０のハードウェア構成を図５に示す。図５に示すように、本実施形態に係る暗号装置１０は、入力装置１０１と、表示装置１０２と、外部Ｉ／Ｆ１０３と、通信Ｉ／Ｆ１０４と、プロセッサ１０５と、メモリ装置１０６とを有する。これらの各ハードウェアは、それぞれがバス１０７により通信可能に接続される。

　入力装置１０１は、例えば、キーボードやマウス、タッチパネル、各種物理ボタン等である。表示装置１０２は、例えば、ディスプレイ等である。なお、暗号装置１０は、例えば、入力装置１０１及び表示装置１０２のうちの少なくとも一方を有していなくてもよい。

　外部Ｉ／Ｆ１０３は、記録媒体１０３ａ等の外部装置とのインタフェースである。暗号装置１０は、外部Ｉ／Ｆ１０３を介して、記録媒体１０３ａの読み取りや書き込み等を行うことができる。なお、記録媒体１０３ａとしては、例えば、ＣＤ（Compact Disc）、ＤＶＤ（Digital Versatile Disk）、ＳＤメモリカード（Secure Digital memory card）、ＵＳＢ（Universal Serial Bus）メモリカード等が挙げられる。

　通信Ｉ／Ｆ１０４は、暗号装置１０を通信ネットワークに接続するためのインタフェースである。プロセッサ１０５は、例えば、ＣＰＵ（Central Processing Unit）やＭＰＵ（Micro-Processing Unit）等の各種演算装置である。メモリ装置１０６は、例えば、ＨＤＤ（Hard Disk Drive）やＳＳＤ（Solid State Drive）、フラッシュメモリ、ＲＡＭ（Random Access Memory）、ＲＯＭ（Read Only Memory）等の各種記憶装置である。

　本実施形態に係る暗号装置１０は、図５に示すハードウェア構成を有することにより、後述する各種処理を実現することができる。なお、図５に示すハードウェア構成は一例であって、暗号装置１０は、図示したハードウェア以外にも様々なハードウェアを有していてもよい。

　＜暗号装置１０の機能構成＞
　次に、本提案手法で説明したＳ－Ｂｏｘを非線形層で利用するＳＰＮ型ラウンド関数を用いるブロック暗号により暗号処理を行う暗号装置１０の機能構成を図６に示す。図６に示すように、本実施形態に係る暗号装置１０は、置換表生成処理部２０１と、暗号処理部２０２とを有する。これら各部は、例えば、暗号装置１０にインストールされた１以上のプログラムがプロセッサ１０５に実行させる処理により実現される。

　置換表生成処理部２０１は、上記で説明した提案手法により置換表（Ｓ－Ｂｏｘ）を生成する。すなわち、置換表生成処理部２０１は、暗号処理部２０２を実現するブロック暗号のＳＰＮ型ラウンド関数の非線形層で利用されるＳ－Ｂｏｘと同一サイズのＳ－Ｂｏｘの中で最長の高確率チェーン長が最も短いＳ－Ｂｏｘを式（２）により変換することで、暗号処理部２０２で用いるＳ－Ｂｏｘを生成する。例えば、暗号処理部２０２がＳＫＩＮＮＹ６４暗号やＭｉｄｏｒｉ６４暗号等で実現される場合、置換表生成処理部２０１は、表２に示す４０個のＳ－Ｂｏｘの中のいずれかのＳ－Ｂｏｘを式（２）により変換することで、暗号処理部２０２で用いるＳ－Ｂｏｘを生成する。

　暗号処理部２０２は、置換表生成処理部２０１で生成されたＳ－Ｂｏｘを用いて、所定のブロック暗号（例えば、ＳＫＩＮＮＹ６４暗号やＭｉｄｏｒｉ６４暗号等）により暗号処理を行う。すなわち、暗号処理部２０２は、例えば、平文から暗号文を生成した上で他の暗号装置に送信したり、他の暗号装置から受信した暗号文を復号したりする。

　なお、図６は一例であって、例えば、置換表生成処理部２０１と暗号処理部２０２のそれぞれを異なる装置が有していてもよい。具体的には、例えば、置換表生成処理部２０１を有する置換表生成装置と、暗号処理部２０２を有する暗号装置とで構成されていてもよい。

　＜置換表生成処理及び暗号処理＞
　次に、本実施形態に係る暗号装置１０が実行する置換表生成処理及び暗号処理の流れを図７に示す。図７に示すように、まず、置換表生成処理部２０１は、暗号処理部２０２で用いるＳ－Ｂｏｘを生成する（Ｓ１０１）。なお、このＳ－Ｂｏｘの生成は暗号処理よりも前に実行されていればよく、例えば、事前に予め実行されてもよいし、暗号処理を実行する直前に都度実行されてもよい。次に、暗号処理部２０２は、置換表生成処理部２０１で生成されたＳ－Ｂｏｘを用いて、所定のブロック暗号により暗号処理（平文の暗号化又は暗号文の復号）を行う（Ｓ１０２）。なお、暗号装置１０が暗号化装置として機能する場合は、暗号処理部２０２は、平文を暗号化して暗号文を生成した上で他の暗号装置に送信する。一方で、暗号装置１０が復号装置として機能する場合は、暗号処理部２０２は、他の暗号装置から受信した暗号文を復号する。

　＜実験結果＞
　以下では、提案手法の効果を確認するために行った実験の結果について説明する。

　まず、Ｍｉｄｏｒｉ６４暗号のＳ－Ｂｏｘを式（３）に示すＳ－Ｂｏｘに置き換えた場合におけるラウンド関数の繰り返し回数に対する最大差分特性確率の変化の様子を図８に示す。なお、Ｍｉｄｏｒｉ６４暗号はブロック長６４ビットで、ＳＰＮ型ラウンド関数を用いるブロック暗号であり、そのＳ－Ｂｏｘの最長の高確率チェーン長は無限長である。

　図８中で「ｏｒｉｇｉｎａｌ」はＭｉｄｏｒｉ６４暗号で従来のＳ－Ｂｏｘを用いた場合であり、「ｏｕｒｓ」はＭｉｄｏｒｉ６４暗号で式（３）に示すＳ－Ｂｏｘを用いた場合である。なお、横軸はラウンド関数の繰り返し回数、縦軸は最大差分特性確率（ＭＤＣＰ）に対してｌｏｇ_２の取った値を表す。

　図８に示すように、最長の高確率チェーン長が無限長であるｏｒｉｇｉｎａｌのＭｉｄｏｒｉ６４暗号では最大差分特性確率が２^－６４より小さいことを保証するためにはラウンド数を７回繰り返さなければならない。

　一方で、最長の高確率チェーン長が２であるＳ－Ｂｏｘに置き換えたＭｉｄｏｒｉ６４暗号（ｏｕｒｓ）では、６回の繰り返し回数で最大差分特性確率が２^－６４を保証することができている。このように、差分解読法に対してラウンド関数の繰り返し回数１回分以上の安全性向上が得られる場合、同じ安全性を保ったまま繰り返し回数を削減することができるため、暗号処理の処理性能を改善できる。

　同様に、ＳＫＩＮＮＹ６４暗号のＳ－Ｂｏｘを式（３）に示すＳ－Ｂｏｘに置き換えた場合におけるラウンド関数の繰り返し回数に対する最大差分特性確率の変化の様子を図９に示す。

　図９中で「ｏｒｉｇｉｎａｌ」はＳＫＩＮＮＹ６４暗号で従来のＳ－Ｂｏｘを用いた場合であり、「ｏｕｒｓ」はＳＫＩＮＮＹ６４暗号で式（３）に示すＳ－Ｂｏｘを用いた場合である。

　ＳＫＩＮＮＹ６４では、最大差分特性確率２^－６４を保証するためのラウンド関数の繰り返し回数は減らないものの、同一のラウンド数で、より小さい最大差分特性確率を保証できており、差分解読法に対する安全性が向上している。

　本発明は、具体的に開示された上記の実施形態に限定されるものではなく、請求の範囲の記載から逸脱することなく、種々の変形や変更、既知の技術との組み合わせ等が可能である。

　１０　　　　暗号装置
　１０１　　　入力装置
　１０２　　　表示装置
　１０３　　　外部Ｉ／Ｆ
　１０３ａ　　記録媒体
　１０４　　　通信Ｉ／Ｆ
　１０５　　　プロセッサ
　１０６　　　メモリ装置
　１０７　　　バス
　２０１　　　置換表生成処理部
　２０２　　　暗号処理部

Claims (6)

1. 　ＳＰＮ型のラウンド関数を用いるブロック暗号により平文を暗号化又は暗号文を復号する暗号装置であって、
   　前記ブロック暗号に応じて決定される所定のサイズの第１の置換表の中で最長の高確率チェーン長が最も短い第２の置換表に対して所定の変換を行うことで、前記ラウンド関数に含まれる非線形層で利用する第３の置換表を生成する置換表生成処理部と、
   　生成された前記第３の置換表を用いて、前記ブロック暗号により前記暗号化又は前記復号を行う暗号処理部と、
   　を有し、
   　前記高確率チェーンは、各ラウンドにおいて、前記第１の置換表への２つの入力の差分を表す入力差分が与えられたときに、前記入力差分に対応する出力の差分を表す出力差分への遷移確率が最大となる差分の系列である、暗号装置。
2. 　前記変換は、
   　前記第２の置換表をＳ（ｘ）、前記第３の置換表をＳ'（ｘ）、排他的論理和を表す記号を＋として、Ｍ_ｉｎ×Ｍ_ｏｕｔが単位行列となるＭ_ｉｎ及びＭ_ｏｕｔと前記サイズの定数ｃ_ｉｎ及びｃ_ｏｕｔとを用いて、Ｓ'（ｘ）＝Ｍ_ｏｕｔ×Ｓ（Ｍ_ｉｎ×（ｘ＋ｃ_ｉｎ））＋ｃ_ｏｕｔと表される、請求項１に記載の暗号装置。
3. 　前記ラウンド関数の線形層は、バイト単位の排他的論理和とバイト位置の入れ替えのみで構成されている、請求項１又は２に記載の暗号装置。
4. 　前記ブロック暗号は、ＳＫＩＮＮＹ６４暗号又はＭｉｄｏｒｉ６４暗号のいずれかであり、
   　前記サイズは４ビットであり、
   　前記第２の置換表の最長の高確率チェーン長は２である、請求項３に記載の暗号装置。
5. 　ＳＰＮ型のラウンド関数を用いるブロック暗号により平文を暗号化又は暗号文を復号する暗号装置が、
   　前記ブロック暗号に応じて決定される所定のサイズの第１の置換表の中で最長の高確率チェーン長が最も短い第２の置換表に対して所定の変換を行うことで、前記ラウンド関数に含まれる非線形層で利用する第３の置換表を生成する置換表生成処理手順と、
   　生成された前記第３の置換表を用いて、前記ブロック暗号により前記暗号化又は前記復号を行う暗号処理手順と、
   　を実行し、
   　前記高確率チェーンは、各ラウンドにおいて、前記第１の置換表への２つの入力の差分を表す入力差分が与えられたときに、前記入力差分に対応する出力の差分を表す出力差分への遷移確率が最大となる差分の系列である、方法。
6. 　コンピュータを、請求項１乃至４の何れか一項に記載の暗号装置として機能させるプログラム。

Images