WO2025041207A1

WO2025041207A1 - 暗号装置、暗号方法及びプログラム

Info

Publication number: WO2025041207A1
Application number: PCT/JP2023/029895
Authority: WO
Inventors: 洋介藤堂
Original assignee: Nippon Telegraph and Telephone Corp
Current assignee: NTT Inc
Priority date: 2023-08-18
Filing date: 2023-08-18
Publication date: 2025-02-27
Anticipated expiration: 2026-02-18

Abstract

本開示は、Space-hardブロック暗号が有するホワイトボックスモデルでの安全性をストリーム暗号において実現することを目的とする。　そのため、本開示は、ストリーム暗号を行なう暗号装置であって、初期化ベクトル、及びブロック暗号から生成された所定の関数に係るテーブルに基づいて、一定回数以上の前記テーブルへの参照により、前記初期化ベクトル及び秘密鍵を混ぜ合わせたランダムな内部状態を生成する初期化部と、中間値を外部から認識できないブラックボックスモデルを用いて、前記ランダムな内部状態から状態を更新しつつ疑似乱数を出力する疑似乱数生成部と、を有する暗号装置である。

Description

暗号装置、暗号方法及びプログラム

　本開示は、ホワイトボックスモデルやハイブリッドモデルにおいて安全性を確保しながら、性能の良い暗号を実現する技術に関する。

　共通鍵暗号とは、メッセージM を秘密鍵Kにより暗号化し、その復号でも同一の鍵K を利用する暗号装置である。共通鍵暗号を構成するために、初期化ベクトルIVと秘密鍵Kから疑似乱数(「keystream」とも呼ぶ)を生成し、平文を疑似乱数と排他的論理和してから暗号化する方式を「ストリーム暗号」と呼ぶ。ストリーム暗号を行なう暗号装置は、初期化ベクトルIV と秘密鍵K を混ぜ合わせランダムな内部状態を生成する初期化(Initialization)部、及びランダムな内部状態から状態を更新しつつ疑似乱数を出力する疑似乱数生成(Keystream Generator)部の二つを含んでいる。初期化部は、上記内部状態を更新するためのUpdate関数を保持し、疑似乱数生成部は、上記内部状態から疑似乱数を生成するためのFilter関数を保持している。

　また、共通鍵暗号を構成するストリーム暗号以外の方法として、暗号化対象のデータをブロックと呼ばれる適当な長さ(64ビット、128ビット等)に分割し、そのブロック毎に暗号化する方式を「ブロック暗号」と呼ぶ。ブロック暗号を計算するために、単体では安全性が不十分である一方で高速に処理できる関数を用意する。これをラウンド関数と呼ぶ。このラウンド関数を複数回繰り返し実行することでブロック暗号を計算する。また、ブロック暗号の一例として、非特許文献１に、Space-hardブロック暗号が開示されている。Space-hardブロック暗号とは、短い秘密状態を拡張して生成した巨大なメモリを暗号化に利用するブロック暗号方式である。非特許文献１では、具体的な方式として、SPACEと呼ばれるSpace-hardブロック暗号が示されている。図８は、SPACEのラウンド関数の概略図である。

　図８に示すように、r番目の関数としては、入力を上位n_aビットとそれ以外に分割し、上位n_aビットに対して、n_aビットから(n-n_a)ビットへ変換するラウンド関数F^rを適用し、その出力を下位(n-n_a)ビットに排他的論理和し、全体を左にn_aビット回転シフトする。秘密鍵Kは、ラウンド関数F^rを生成する際に利用され、ラウンド関数F^rには安全なブロック暗号E_Kの制限された平文空間から切り詰められた暗号文空間への写像を用いる。

　Space-hardブロック暗号が解決する課題は、ホワイトボックスモデルにおける安全性を確保することにある。

　共通鍵暗号の安全性は、秘密鍵Kは秘匿された中、既知又は選択されたメッセージMに対して暗号装置を適用した結果得られる暗号文C、及び既知又は選択された暗号文Cに対して復号装置(暗号装置の逆関数)を適用した結果得られるメッセージMが与えられた中、秘密鍵Kの解読可否を議論するのが一般である。これは、ブラックボックスモデルによる議論である。

　一方、ホワイトボックスモデルは、上記ブラックボックスモデルとは異なり、暗号装置の内部の演算も全てを監視及び操作可能なモデルである。

　秘密鍵Kを直接利用する通常のブロック暗号では、ホワイトボックスモデルでの攻撃者は秘密鍵を直接監視可能なため、安全性の確保が極めて困難である。一方で、Space-hardブロック暗号では、秘密鍵を直接使うことなく、関数F^rのテーブルのみを用いて実装する。これにより、space-hardブロック暗号に対してホワイトボックスモデルの攻撃者による秘密鍵の抜き取り攻撃は、ブロック暗号E_Kに対してブラックボックスモデルの攻撃者による鍵回復攻撃と同等に困難となり、秘密鍵の漏洩リスクを軽減することが可能である。

　上記に加えて、関数F^rのテーブルは、安全なブロック暗号E_Kから生成されるため、テーブル情報の圧縮を行うことは出来ない。非特許文献１では、これをspace hardnessと呼び、ホワイトボックスモデルの攻撃者によるプログラムそのものの奪取、及びcode lifting攻撃への対策として提示されている。以下に、非特許文献１で導入された space hardnessの定義を示す。

　Definition 1 ((M,Z)-space hardness). The implementation of a block cipher E_K is (M,Z)-space hard if it is infeasible to encrypt (decrypt) any randomly drawn plaintext (ciphertext) with probability of more than 2^－Z given any code (table) of size less than M.
　また、space hardness の安全性レベルに依存して、様々なパラメータのspace-hardブロック暗号が提案されている。非特許文献１で示されたSPACEは４つのパラメータがあり、SPACE-8は3840Byte、SPACE-16は896KB、SPACE-24は192MB、SPACE-32は48GBのテーブルを利用する(ここでは、1KB=1024Byte、1MB=1024KB、1GB=1024MBで計算)。各SPACEのパラメータにおけるテーブルサイズをTとしたとき、SPACEは(T/4, 128)-space hardnessの安全性を主張している。例えば、SPACE-16 の場合、(896/4) = 224KB までのテーブル情報ではランダムな平文を暗号化出来る確率は2^-128未満という主張となる。

　また、非特許文献２では、SPACEよりも効率のよい方式として、SPNboxが提案され、同様に４つのパラメータがあり、SPNbox-8が256Byte、SPNbox-16が128KB、SPNbox-24が48MB、SPNbox-32が16GBの各テーブルが利用される。

　更に、非特許文献３では、ホワイトボックスモデルの攻撃者により圧縮されたプログラムのcode liftingが、ブラックボックスモデルの攻撃者に対する安全性に影響を与えることが示されている。ホワイトボックスモデルの攻撃者による圧縮プログラムのcode lifting後におけるブラックボックスモデルの攻撃者に対する安全性の議論を、「ハイブリッドモデル」と呼ぶ。また、ホワイトボックスモデルの攻撃者による圧縮プログラムの code lifting 後でも、ブラックボックスモデルの攻撃者に対する安全性を維持できる場合、そのspace-hard cipherは、ハイブリッドモデルで安全と呼ぶ。

　また、ハイブリッドモデルでも安全性を確保するためには、一部のspace-hardブロック暗号は仕様の改定が求められる。具体的には、ラウンド関数の繰り返し数の増加等の改定が必要となる。

　以上のように、Space-hardブロック暗号は、ホワイトボックスモデルやハイブリッドモデルにおいて安全性を確保する技術として有効である。

Andrey Bogdanov, Takanori Isobe, "White-Box Cryptogra44phy Revisited: Space-Hard Ciphers," ACM CCS 2015, pages 1058-45 1069, 2015. Andrey Bogdanov, Takanori Isobe, Elmar Tischhauser, "Towards Practical Whitebox Cryptography: Optimizing Efficiency and Space Hardness". Asiacrypt 2016 Yosuke Todo, Takanori Isobe, "Hybrid Code Lifting on Space-Hard Block Ciphers Application to Yoroi and SPNbox". IACR Trans. Symmetric Cryptol. 2022(3): 368-402 (2022)

　しかしながら、Space-hardブロック暗号は、テーブル実装される関数F^rへの頻繁なアクセスが必要であり、その実装は記憶部(メモリ)への頻繁なアクセスを要求する。

　通常、メモリへのランダムアクセスの遅延（レイテンシ）は非常に大きい。その結果、Space-hardブロック暗号の性能は、通常のブロック暗号と比べると非常に悪く、幅広く適用できる性能に足り得ていない。

　Intel Core i7-6700 CPU上でのSPACE、及びSPNboxの実装性能に関しては、非特許文献２にて整理されている。具体的には、SPACE-16の性能は、305.11cpb、SPNbox-16の性能でも、17.59cpbと報告されている。昨今の共通鍵暗号の性能は、0.3～2 cpb程度の性能であることを考慮すると、現状のSpace-hardブロック暗号は、通常の共通鍵暗号と比べて10倍近く遅いことが分かる。

　space-hardブロック暗号の性能が悪い主な原因として、Space-hardブロック暗号は各ブロックを独立で処理するため、各ブロックで毎回、十分なテーブル参照を実施しなければ、space hardnessやハイブリッドモデルでの安全性を担保出来ない。

　本発明は、上述の点に鑑みてなされたものであって、Space-hardブロック暗号が有するホワイトボックスモデルでの安全性をストリーム暗号において実現することを目的とする。

　上記課題を解決するため、請求項１に係る発明は、ストリーム暗号を行なう暗号装置であって、初期化ベクトル、及びブロック暗号から生成された所定の関数に係るテーブルに基づいて、一定回数以上の前記テーブルへの参照により、前記初期化ベクトル及び秘密鍵を混ぜ合わせたランダムな内部状態を生成する初期化部と、中間値を外部から認識できないブラックボックスモデルを用いて、前記ランダムな内部状態から状態を更新しつつ疑似乱数を出力する疑似乱数生成部と、を有する暗号装置である。

　以上説明したように本発明によれば、Space-hardブロック暗号が有するホワイトボックスモデルでの安全性をストリーム暗号において実現することができるいう効果を奏する。

実施形態に係る暗号装置の機能構成図である。本実施形態を実施するのに適したUpdate関数(上部)及びFilter関数(下部)の概略図である。７つのパラメータと、既存方式SPNboxの実装性能比較を示す図である。パラメータ１６の８段分のUpdate関数(上部)及びFilter関数(下部)を示す概念図である。パラメータｔの４段分のUpdate関数(上部)及びFilter関数(下部)の概念図である。実施形態に係る暗号装置の電気的なハードウェア構成図である。実施形態に係る暗号装置の処理又は動作を示すフローチャートである。非特許文献１に開示されたSPACEのラウンド関数の概念図である。

　以下、図面に基づいて本発明の実施形態を説明する。

　〔機能構成〕
　まずは、図１を用いて、本実施形態に係る暗号装置５０の機能構成について説明する。

　暗号装置５０は、平文としてのメッセージMを疑似乱数と排他的論理和してから暗号化するストリーム暗号を行なう装置である。

　図１に示すように、暗号装置５０は、取得部５１、初期化(Initialization)部５２、疑似乱数生成(Keystream Generator)部５３、及び出力部５４を有している。これら各部は、プログラムに基づき図６のＣＰＵ１０１による命令によって実現される機能である。また、暗号装置５０は、図６に示すＲＡＭ１０４等により実現される記憶部(メモリ)Ｍを有している。

　取得部５１は、暗号装置５０の外部から平文としてのメッセージMを取得する。

　初期化部５２は、記憶部Ｍにおいて内部状態を更新するための所定の関数の一例としてUpdate関数を保持し、初期化ベクトルIV、及びブロック暗号から生成された所定の関数に係るテーブルに基づいて、一定回数以上のテーブルへの参照により、初期化ベクトルIV及び秘密鍵Kを混ぜ合わせたランダムな内部状態を生成する。

　疑似乱数生成部５３は、記憶部Ｍにおいて内部状態から疑似乱数を生成するためのFilter関数を保持し、中間値を外部から認識できないブラックボックスモデルを用いて、ランダムな内部状態から状態を更新しつつ疑似乱数を出力する。

　出力部５４は、平文のメッセージMを疑似乱数と排他的論理和してから暗号化すストリーム暗号を行って、暗号化後のメッセージを出力する。

　なお、初期化部５２及び疑似乱数生成部５３に関しては、以下でより詳細に説明する。

　＜Space-hardなストリーム暗号＞
　まずは、本実施形態のSpace-hardなストリーム暗号について説明する。

　非特許文献１，２，３で示されたように、Space hardnessやハイブリッドモデルでの安全性を確保するためには、攻撃者がブラックボックスモデルで選択可能なメッセージから、ブラックボックスモデルで観測可能な暗号文を生成するまで、一定回数以上のテーブル参照が必須である。

　ここで、必要なテーブル参照の回数をT回以上とする。Space-hardブロック暗号の場合、各ブロックを独立で処理するため、Mビットを、nビットのブロック暗号を用いて処理するためには、M/nブロックの処理が必要であり、最低でも(T×M/n)回のテーブル参照が必要である。

　ストリーム暗号は、ブロック暗号のようにメッセージを直接処理するデータ暗号化部が存在しない。ストリーム暗号の場合、攻撃者がブラックボックスモデルで選択可能な初期化ベクトルIVから、ブラックボックスモデルで観測可能な疑似乱数(keystream)を生成するまでの関数が攻撃対象となる。この関数が、Space-hardブロック暗号のように、圧縮不可能ならば、Space-hardストリーム暗号を実現できる。

　Space-hardストリーム暗号を実現するため、ストリーム暗号のUpdate関数及びFilter関数を、安全なブロック暗号E_Kから生成する。これにより、生成されたUpdate関数及びFilter関数の圧縮は困難になる。

　ストリーム暗号の初期化部５２に対しては、ブロック暗号との構造の類似性から、Space-hardブロック暗号と同様に一定回数以上のテーブル参照が必要となる。

　ストリーム暗号の疑似乱数生成部５３では、攻撃者はブラックボックスモデルで直接、疑似乱数生成部の入力を選択できないため、初期化部５２で求められるような多くのテーブル参照を必要としない。

　一回のテーブル参照で、n₀ビットの結果を得る場合、Space-hardストリーム暗号は、漸近的に、(M/n₀)回のテーブル参照で、求められる安全性要件を確保し、Mビットのメッセージの暗号化が可能である。通常、T/n ≫ 1/n₀ が成立する。典型例として、T = 64, n = 128, n0 = 16などが考えられ、この場合、T/n = 1/2 ≫ 1/16となり、テーブル参照の回数は1/8に抑えられる。そのため、Mビットを暗号化するために必要なテーブル参照の回数が激減し、大幅な性能改善を達成できる。

　＜Update関数＞
　続いて、テーブル参照の常時実行を可能とするUpdate関数を説明する。

　参照するテーブルの大きさが大きくなればなるほど、テーブル参照の結果を得るまでの遅延（レイテンシ）は大きくなる。昨今のＣＰＵでは、L1キャッシュサイズならば約5cycle、L2キャッシュサイズならば10cycle 以上、L3キャッシュサイズならば数十cycle以上、メインメモリならば数百cycle以上のレイテンシが必要となる。

　従来のSpace-hardブロック暗号のラウンド関数は、テーブル参照の実行が逐次的である。すなわち、一つのテーブル参照の結果を得たのちに、次のテーブル参照を開始できる。その結果、実装性能はメモリアクセスの高レイテンシに依存する。

　昨今のＣＰＵでは、記憶部Ｍ(メモリ)アクセスの高レイテンシは避けられないが、高スループットは実現可能である。すなわち、テーブル参照の実行結果を待つことなく、別のテーブル参照の実行を開始できる。

　テーブル参照の常時実行を可能とするUpdate関数を用いることで、テーブル参照の高スループットの恩恵を受ける、ストリーム暗号の実現が可能である。

　以下に本実施形態を実施するのに適したストリーム暗号のUpdate関数及びFilter関数の例を示す。

　初めに、図２に示すように、初期化ベクトルIVからUpdate関数の入力となるn×n₀ビットの内部状態を生成する。図２は、本実施形態を実施するのに適したUpdate関数(上部)及びFilter関数(下部)の概略図である。

　内部状態は、n個のBranchに分割され、各Branchはn₀ビットの値を取る。

　m個のBranch、j₁,j₂,...,j_m を選択し、これらm個のBranchをΣ関数により混ぜ合わせ、n₁ビットを出力する。ただし、n₁≦n₀とする。またΣ関数は単純な関数を利用し、例えば、排他的論理和及び切詰関数などが利用できる。

　関数f及び関数gはn₁ビットを入力とし、n₀ビットを出力する関数である。関数fの出力は1番目のBranchと排他的論理和、関数gの出力はo番目のBranchと排他的論理和し、後者を疑似乱数として出力する。ここで、関数f及び関数gは、ブラックボックスモデルで安全なブロック暗号E_Kを用いて生成され、具体的にはE_Kの制限された平文空間から切り詰められた暗号文空間への写像を用いる。

　最後に、各Branchを左に一つ回転シフトし、次のUpdate関数の入力とする。

　これにより、本実施形態のSpace-hardストリーム暗号は、従来のSpace-hardブロック暗号と比べて、大幅に実装効率を改善することができる。

　＜具体例＞
　続いて、本実施形態における具体例を説明する。

　本実施形態のSpace-hardストリーム暗号は、従来のSpace-hardブロック暗号であるSPNboxと比べて、同一の測定環境において、約10倍の処理速度を達成する。図３に、実装比較を示す。図３は、７つのパラメータと、既存方式SPNboxの実装性能比較を示す図である。
測定環境は、Hyperthreading及びTurboboostを無効にした状態でのIntel Core i7-1185G7 の単一コアでの測定による。

　各パラメータは、圧縮限界よりも更に圧縮することは出来ない。同等のテーブルサイズで比較した場合、SPNbox-16が2KB を処理するのに要するcycleは、10.04×2048 cyclesであるのに対し、本実施形態のパラメータ16では、1.38×2048 cyclesで処理可能である。

　以下に、256KBのテーブルを利用し、32KB以下まで圧縮することが出来ない具体例（パラメータ16）を示す。各Branchは16ビットの値を取り、その内部状態は、32個の16ビット値、合計512ビットで表現される。パラメータ16で利用される関数f及び関数gは、16ビット入力で16ビット出力となり、ブロック暗号AES(Advanced Encryption Standard)を用いて、（式１）に示すように生成される。
(g||f)(x) = msb₃₂(AES_K(0¹¹²||x))・・・（式１）
　また、関数fと関数gは同一の入力を取ることで、合わせて、16ビット入力で32ビット出力とみなせる。図４は、パラメータ１６の８段分のUpdate関数(上部)及びFilter関数(下部)を示す概念図である。

　パラメータ16の内部状態をs∈({0,1}¹⁶)³²とする。このとき、128ビットの初期化ベクトルIVを入力とし、内部状態の初期状態を以下のように生成する。なお、本明細書のテキスト中では排他的論理和を表す記号を(＋)と表記することにする。
s₁||s₂||s₃||s₄||s₅||s₆||s₇||s₈ ← IV,
s₉||s₁₀||s₁₁||s₁₂||s₁₃||s₁₄||s₁₅||s₁₆ ← IV (＋) C₁,
s₁₇||s₁₈||s₁₉||s₂₀||s₂₁||s₂₂||s₂₃||s₂₄ ← IV (＋) C₂,
s₂₅||s₂₆||s₂₇||s₂₈||s₂₉||s₃₀||s₃₁||s₃₂ ← IV (＋) C₃.
　ここでC₁,C₂,C₃は定数である。

　s^rをr段目のUpdate関数の出力内部状態とする。Update関数では、８回のUpdate関数ごとに1回、現在の段数を鍵として、AESの繰り返し回数を4回に削減した関数を適用する。

　s₂₅ ^r||s₂₆ ^r||・・・||s₃₂ ^r = A_r ⁴(s₂₅ ^r||s₂₆ ^r||・・・||s₃₂ ^r)
　加えて、毎段、以下の関数を適用し、内部状態を更新する。

　s_i ^r+1 = s_i+1 ^r　　　1≦i＜32
　s₃₂ ^r+1 = s₁ ^r(＋)f(s₂ ^r(＋)s₉ ^r
　なお、初期化部５２は、上記Update関数を112回繰り返し実行するものとする。

　初期化の実行後の内部状態を入力とし、疑似乱数生成部５３の処理を開始する。疑似乱数は以下の手順で生成される。

　ks^r = s₁₀ ^r+112 (＋)g(s₂ ^r+112(＋)s₉ ^r+112)
　なお、r段目の疑似乱数の生成後は、上記Update関数が適用される。

　以下に8×2^tbyte のテーブルを利用し、2^tbyte 以下まで圧縮することが不可能な具体例(パラメータt)を示す。具体的に、tは17以上32以下の整数が取りえる。各Branchは32ビットの値を取り、その内部状態は、32個の32ビット値、合計1024ビットで表現される。パラメータtで利用される関数fおよび関数gはtビット入力で32ビット出力となり、ブロック暗号AESを用いて、以下の(式２)に示すように生成される。

　(g||f)(x) = msb₆₄(AES_K(0^128-t||x))・・・(式２)
　また、関数fと関数gは同一の入力を取ることで、合わせて、tビット入力で64ビット出力とみなせる。図５は、パラメータｔの４段分のUpdate関数(上部)及びFilter関数(下部)の概念図である。

　ここで、パラメータtの内部状態をs∈({0,1}³²)³²とする。このとき、128ビットの初期化ベクトルIVを入力とし、内部状態の初期状態を以下のように生成する。
s₁||s₂||s₃||s₄||s₅||s₆||s₇||s₈ ← IV,
s₉||s₁₀||s₁₁||s₁₂||s₁₃||s₁₄||s₁₅||s₁₆ ← IV(＋)C₁,
s₁₇||s₁₈||s₁₉||s₂₀||s₂₁||s₂₂||s₂₃||s₂₄ ← IV(＋)C₂,
s₂₅||s₂₆||s₂₇||s₂₈||s₂₉||s₃₀||s₃₁||s₃₂ ← IV(＋)C₃,
s₂₅||s₂₆||s₂₇||s₂₈||s₂₉||s₃₀||s₃₁||s₃₂ ← IV(＋)C₄,
s₂₅||s₂₆||s₂₇||s₂₈||s₂₉||s₃₀||s₃₁||s₃₂ ← IV(＋)C₅,
s₂₅||s₂₆||s₂₇||s₂₈||s₂₉||s₃₀||s₃₁||s₃₂ ← IV(＋)C₆,
s₂₅||s₂₆||s₂₇||s₂₈||s₂₉||s₃₀||s₃₁||s₃₂ ← IV(＋)C₇,
　ここで、C₁,C₂,C₃,C₄,C₅,C₆,C₇は定数である。

　s^rをr段目のUpdate関数の出力内部状態とする。Update関数では、4回のUpdate関数ごとに1回、現在の段数を鍵として、AESの繰り返し回数を4回に削減した以下の関数を適用する。

　s₂₉ ^r||s₃₀ ^r||s₃₁ ^r||s₃₂ ^r = A_r ⁴(s₂₉ ^r||s₃₀ ^r||s₃₁ ^r||s₃₂ ^r)
　加えて、毎段、以下の関数を適用し、内部状態を更新する。

　s_i ^r+1 = s_i+1 ^r　　　1≦i＜32
　s₃₂ ^r+1 = s₁ ^r(＋)f(lsb_t(s₂ ^r(＋)s₅ ^r(＋)s₉ ^r))
　なお、初期化部５２は上記Update関数を112回繰り返し実行するものとする。

　初期化実行後の内部状態を入力とし、疑似乱数生成部５３の処理を開始する。疑似乱数は以下の手順で生成される。

　ks^r = s₁₄ ^r＋112(＋)g(lsb_t(s₂ ^r＋112(＋)s₅ ^r＋112(＋)s₉ ^r＋112))
　r段目の疑似乱数の生成後は上記Update関数が適用される。

　なお、本実施形態のテーブル参照の常時実行は、ストリーム暗号のみに限らない。具体的には、ブロック暗号、メッセージ認証符号、認証暗号など、共通鍵暗号を活用した様々な応用先で利用可能である。

　〔暗号装置のハードウェア構成〕
　次に、図６を用いて、暗号装置１０の電気的なハードウェア構成を説明する。図６は、暗号装置の電気的なハードウェア構成図である。

　暗号装置１０は、コンピュータとして、ＣＰＵ１０１、ＲＯＭ１０２、ＲＡＭ１０３、ＳＳＤ１０４、外部機器接続Ｉ／Ｆ(Interface)１０５、ネットワークＩ／Ｆ１０６、ディスプレイ１０７、入力デバイス１０８、メディアＩ／Ｆ１０９、及びバスライン１１０を備えている。

　これらのうち、ＣＰＵ１０１は、暗号装置１０全体の動作を制御する。ＲＯＭ１０２は、ＩＰＬ等のＣＰＵ１０１の駆動に用いられるプログラムを記憶する。ＲＡＭ１０３は、ＣＰＵ１０１のワークエリアとして使用される。

　ＳＳＤ１０４は、ＣＰＵ１０１の制御に従って各種データの読み出し又は書き込みを行う。なお、ＳＳＤ１０４の代わりに、ＨＤＤ(Hard Disk Drive)を用いてもよい。

　外部機器接続Ｉ／Ｆ１０５は、各種の外部機器を接続するためのインターフェースである。この場合の外部機器は、ディスプレイ、スピーカ、キーボード、マウス、ＵＳＢメモリ、及びプリンタ等である。

　ネットワークＩ／Ｆ１０６は、通信ネットワーク１００を介してデータ通信をするためのインターフェースである。

　ディスプレイ１０７は、各種画像を表示する液晶や有機ＥＬ(Electro Luminescence)などの表示手段の一種である。

　入力デバイス１０８は、キーボードやポインティングデバイス等であり、文字、数値、各種指示などの入力操作を受け付けるための入力手段の一例である。

　メディアＩ／Ｆ１０９は、フラッシュメモリ等の記録メディア１０９ｍに対するデータの読み出し又は書き込み（記憶）を制御する。記録メディア１０９ｍには、ＤＶＤやＢｌｕ-ｒａｙＤｉｓｃ(登録商標)等も含まれる。

　バスライン１１０は、図２に示されているＣＰＵ１０１等の各構成要素を電気的に接続するためのアドレスバスやデータバス等である。

　〔実施形態の処理又は動作〕
　続いて、図７を用いて、本実施形態の処理又は動作について説明する。図７は、実施形態に係る暗号装置の処理又は動作を示すフローチャートである。

　Ｓ１１：取得部５１は、暗号装置５０の外部から平文としてのメッセージMを取得する。

　Ｓ１２：初期化部５２は、初期化ベクトルIV、及びブロック暗号から生成された所定の関数に係るテーブルに基づいて、一定回数以上のテーブルへの参照により、ランダムな内部状態を生成する。

　Ｓ１３：疑似乱数生成部５３は、ブラックボックスモデルを用いて、ランダムな内部状態から状態を更新しつつ疑似乱数を出力する。

　Ｓ１４：出力部５４は、平文のメッセージMを疑似乱数と排他的論理和してから暗号化すストリーム暗号を行って、暗号化後のメッセージを出力する。

　〔実施形態の主な効果〕
　以上説明したように本実施形態によれば、Space-hardブロック暗号が有するホワイトボックスモデルでの安全性を、ストリーム暗号において実現することができる。ストリーム暗号では、初期化部５２はブロック暗号と同様に十分なテーブル参照が必要だが、疑似乱数生成部５３では不要となる。その結果、1byte を暗号化するために要するテーブル参照の回数を大きく削減することができる。

　また、テーブルへの参照の常時実行を可能とするUpdate関数により、r段目のUpdate関数(ラウンド関数)でのテーブル参照の結果が得られるよりも前に、r+1段目以降のUpdate関数(ラウンド関数)の実行を開始することができる。その結果、暗号装置５０の実行中は、常にテーブル参照を実行し続ける。通常、メモリ(記憶部Ｍ)へのランダムアクセスのレイテンシは遅いがスループットは早い。これにより、実装性能がメモリアクセスの高レイテンシではなく、高スループットに依存し、大幅な性能向上が期待できる。

　〔補足〕
　本発明は上述の実施形態に限定されるものではなく、以下に示すような構成又は処理（動作）であってもよい。

　（１）暗号装置１０はコンピュータとプログラムによっても実現できるが、このプログラムを（非一時的な）記録媒体に記録することも、インターネット等の通信ネットワークを介して提供することも可能である。

　（２）プロセッサとしてのＣＰＵ１０１は、単一だけでなく、複数であってもよい。

　（３）上記実施形態では、ストリーム暗号を行なう暗号装置１０について説明したが、Update関数を用いる場合には、ブロック暗号による暗号を行ってもよい。また、暗号装置１０は、メッセージ認証コード(MAC:Message Authentication Code）を用いてもよい。

１０　暗号装置
１１　取得部
１２　初期化部
１３　疑似乱数生成部
１４　出力部
Ｍ　記憶部(メモリ)

Claims

　ストリーム暗号を行なう暗号装置であって、
　初期化ベクトル、及びブロック暗号から生成された所定の関数に係るテーブルに基づいて、一定回数以上の前記テーブルへの参照により、前記初期化ベクトル及び秘密鍵を混ぜ合わせたランダムな内部状態を生成する初期化部と、
　中間値を外部から認識できないブラックボックスモデルを用いて、前記ランダムな内部状態から状態を更新しつつ疑似乱数を出力する疑似乱数生成部と、
　を有する暗号装置。
　前記所定の関数は、前記テーブルへの参照の常時実行を可能とするUpdate関数である、請求項１に記載の暗号装置。
　暗号処理を行なう暗号装置であって、
　初期化ベクトル、及びブロック暗号から生成された所定の関数に係るテーブルに基づいて、一定回数以上の前記テーブルへの参照により、前記初期化ベクトル及び秘密鍵を混ぜ合わせたランダムな内部状態を生成する初期化部と、
　中間値を外部から認識できないブラックボックスモデルを用いて、前記ランダムな内部状態から状態を更新しつつ疑似乱数を出力する疑似乱数生成部と、
　を有し、
　前記所定の関数は、前記テーブルへの参照の常時実行を可能とするUpdate関数である、暗号装置。
　ストリーム暗号を行なう暗号装置が実行する暗号方法であって、
　前記暗号装置は、
　初期化ベクトル、及びブロック暗号から生成された所定の関数に係るテーブルに基づいて、一定回数以上の前記テーブルへの参照により、前記初期化ベクトル及び秘密鍵を混ぜ合わせたランダムな内部状態を生成する初期化処理と、
　中間値を外部から認識できないブラックボックスモデルを用いて、前記ランダムな内部状態から状態を更新しつつ疑似乱数を出力する疑似乱数生成処理と、
　を実行する暗号方法。
　コンピュータに、請求項４に記載の方法を実行させるプログラム。