JP5704159B2 - ブロック暗号化装置、ブロック復号装置、ブロック暗号化方法、ブロック復号方法及びプログラム - Google Patents
ブロック暗号化装置、ブロック復号装置、ブロック暗号化方法、ブロック復号方法及びプログラム Download PDFInfo
- Publication number
- JP5704159B2 JP5704159B2 JP2012501785A JP2012501785A JP5704159B2 JP 5704159 B2 JP5704159 B2 JP 5704159B2 JP 2012501785 A JP2012501785 A JP 2012501785A JP 2012501785 A JP2012501785 A JP 2012501785A JP 5704159 B2 JP5704159 B2 JP 5704159B2
- Authority
- JP
- Japan
- Prior art keywords
- bit
- value
- key
- block
- adjustment value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 44
- 230000006870 function Effects 0.000 claims description 62
- 230000001419 dependent effect Effects 0.000 claims description 61
- 238000009795 derivation Methods 0.000 claims description 12
- 238000010586 diagram Methods 0.000 description 8
- 238000004891 communication Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 230000000873 masking effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- XEBWQGVWTUSTLN-UHFFFAOYSA-M phenylmercury acetate Chemical compound CC(=O)O[Hg]C1=CC=CC=C1 XEBWQGVWTUSTLN-UHFFFAOYSA-M 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/04—Masking or blinding
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Description
[関連出願についての記載]
本発明は、日本国特許出願:特願2010−038975号(2010年2月24日出願)の優先権主張に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
本発明は、ブロック暗号化装置、ブロック復号装置、ブロック暗号化方法、ブロック復号方法及びプログラムに関し、特に、nビットブロック暗号による調整値付きのブロック暗号化装置、ブロック復号装置、ブロック暗号化方法、ブロック復号方法及びプログラムに関する。
本発明は、日本国特許出願:特願2010−038975号(2010年2月24日出願)の優先権主張に基づくものであり、同出願の全記載内容は引用をもって本書に組み込み記載されているものとする。
本発明は、ブロック暗号化装置、ブロック復号装置、ブロック暗号化方法、ブロック復号方法及びプログラムに関し、特に、nビットブロック暗号による調整値付きのブロック暗号化装置、ブロック復号装置、ブロック暗号化方法、ブロック復号方法及びプログラムに関する。
ブロック暗号とは、鍵により一意に定まる置換の集合である。置換への入力が平文に相当し、置換からの出力が暗号文に相当する。平文と暗号文の長さをブロックサイズという。一般に、ブロックサイズがnビットのブロック暗号を、nビットブロック暗号という。
調整値付きブロック暗号とは、通常のブロック暗号が入出力として有する(平文、暗号文、鍵)以外に、tweakと呼ばれる調整値を有するブロック暗号をいう。調整値付きブロック暗号は、tweakableブロック暗号とも呼ばれる。調整値付きブロック暗号においては、調整値と鍵とが定まれば、平文と暗号文とが1対1に対応することが条件とされる。すなわち、任意の調整値付きブロック暗号に対する暗号化関数TWENCと、これに対応する復号関数TWDECは、平文M、暗号文C、鍵K、調整値Tについて、
C=TWENC(K,T,M) ⇔ M=TWDEC(K,T,C) …(1)
を満たす。ここで、矢印(⇔)は左右の命題が等価であることを示す。
C=TWENC(K,T,M) ⇔ M=TWDEC(K,T,C) …(1)
を満たす。ここで、矢印(⇔)は左右の命題が等価であることを示す。
非特許文献1に、式(1)を含む調整値付きブロック暗号の形式的な定義と安全性要件が記載されている。安全性要件とは、調整値付きブロック暗号において、調整値と入力が攻撃者に既知であっても、調整値が異なる2つのブロック暗号の出力が攻撃者には互いに独立でランダムな値に見えることをいう。この要件が満たされるとき、調整値付きブロック暗号は安全であるという。
また、非特許文献1において、理論的に安全な調整値付きブロック暗号が、通常のブロック暗号の運用モード(以下「モード」と略す)として得られること、すなわち、ブロック暗号をブラックボックスとして用いた変換として得られることが示されている。ただし、ここでの理論的安全性とは、あるブロック暗号のモードとして得られる調整値付きブロック暗号の安全性が、元となるブロック暗号の安全性に帰着できること、すなわち、安全なブロック暗号を用いる限り、得られる調整値付きブロック暗号も安全であることをいう。
さらに、安全性の定義には、攻撃者が選択平文攻撃(CPA:Chosen−Plaintext Attack)のみ可能な場合の安全性と、選択平文攻撃と選択暗号文攻撃(CCA:Chosen−Ciphertext Attack)とを組み合わせて実行可能な場合の安全性の2種類がある。前者をCPA−securityといい、後者をCCA−securityという。
安全な調整値付きブロック暗号は、高度な暗号化機能を実現するための鍵となる技術である。例えば、非特許文献2では、CCA−securityを有する調整値付きブロック暗号を用いると、効率のよい認証機能付き暗号化を実現しうること、及び、CPA−securityを有する調整値付きブロック暗号を用いると効率のよい並列実行可能なメッセージ認証コードを実現しうることが記載されている。また、CCA−securityを有する調整値付きブロック暗号は、ディスクセクタ暗号化などのストレージ暗号化のための必須の技術でもある。
ここでは、非特許文献1の定理2で提案されたモードをLRWモードと呼ぶ。図7は、非特許文献1に記載された、nビットブロック暗号Eを用いたLRWモードにおける暗号化と復号を示す図である。nビットブロック暗号(暗号化関数をEnc,復号関数をDecとする)を用いたLRWモードは、一般に、鍵K、調整値T、平文Mが与えられたとき、以下の式(2)によって暗号文Cを得る。
C=Enc(K1,M+F(K2,T))+F(K2,T) …(2)
C=Enc(K1,M+F(K2,T))+F(K2,T) …(2)
一方、暗号文Cから平文Mへの復号は、以下の式(3)となる。
M=Dec(K1,C+F(K2,T))+F(K2,T) …(3)
ここで、K1はブロック暗号の鍵であり、K2はブロック暗号の処理の前後に足される鍵付き関数F(オフセット関数と呼ばれる)である。ここで、Fは、セキュリティパラメータをe(eは0以上1以下)としたとき、任意のc,x,x’(ただしxとx’は異なる)について、以下の式(4)を満たす必要がある。
Pr[f(K,x)+f(K,x’)=c]≦e …(4)
ここで、+は排他的論理和をあらわす。
M=Dec(K1,C+F(K2,T))+F(K2,T) …(3)
ここで、K1はブロック暗号の鍵であり、K2はブロック暗号の処理の前後に足される鍵付き関数F(オフセット関数と呼ばれる)である。ここで、Fは、セキュリティパラメータをe(eは0以上1以下)としたとき、任意のc,x,x’(ただしxとx’は異なる)について、以下の式(4)を満たす必要がある。
Pr[f(K,x)+f(K,x’)=c]≦e …(4)
ここで、+は排他的論理和をあらわす。
この性質を有するf(K,*)を、e−AXU(e−almost XOR universal)であるという。e−AXU関数は、ユニバーサルハッシュ関数の一種である。これを実現するには、例えば、有限体GF(2n)上の乗算mulを用いて、F(K2,T)=mul(K2,T)とすることが知られている。このとき、Fは1/2n−AXUである。
e−AXU関数は、有限体GF(2n)上の乗算mul以外に、非特許文献3で提案されている方式で実現することもできる。これらは、特定の実装環境において、一般的なブロック暗号よりも数倍高速となることが知られている。
M. Liskov, R. Rivest, D. Wagner, "Tweakable Block Ciphers, " Advances in Cryptology−CRYPTO 2002, 22nd Annual International Cryptology Conference, Santa Barbara, California, USA, August 18−22, 2002, Proceedings. Lecture Notes in Computer Science 2442 Springer 2002, pp.31−46.
P. Rogaway, "Efficient Instantiations of Tweakable Blockciphers and Refinements to Modes OCB and PMAC," Advances in Cryptology − ASIACRYPT 2004, 10th International Conference on the Theory and Application of Cryptology and Information Security, Jeju Island, Korea, December 5−9, 2004, Proceedings. Lecture Notes in Computer Science 3329 Springer 2004, pp.16−31
S. Halevi and H. Krawczyk, "MMH:Software Message Authentication in the Gbit/second rates," Fast Software Encryption, 4th Internatioanl Workshop, FSE ’97, Lecture Notes in Computer Science; Vol.1267, Feb. 1997
K. Minematsu, "Beyond−Birthday−Bound Security Based on Tweakable Block Cipher," Fast Software Encryption − FSE 2009, 16th International Workshop, FSE 2009, Leuven, Belgium, February 22−25, 2009, Revised Selected Papers. Lecture Notes in Computer Science 5665 Springer 2009, pp.308−326.
上記非特許文献1−4の全開示内容はその引用をもって本書に繰込み記載する。以下に本発明による分析を与える。
nビットブロック暗号を用いた調整値付きブロック暗号の構成方法は、非特許文献1のLRWモードと、その変種である非特許文献2のXEXモードがある。LRW、XEXモードは、式(2)と式(3)で示される形式を持ち、CCA−securityを有する。LRWとXEXは、構造的にはほぼ同じである。しかし、LRWモードではK2はK1と独立であるのに対し、XEXモードではK2は固定平文(例えばnビットの全ゼロ値)をEnc(K1,*)で暗号化した結果を用いることにより、鍵サイズの効率化を図っている。重要な点は、いずれにおいても、その安全性保証は、一つの鍵で処理する暗号化回数qが2n/2よりも十分に小さい(これをq≪2n/2と表す)場合に限られていることである。2n/2はバースデーバウンドと呼ばれる。バースデーバウンド程度の回数の暗号化の結果を用いた攻撃は、バースデー攻撃と呼ばれる。このような攻撃は、64ビットブロック暗号を用いた場合には現実的な脅威となり、128ビットブロック暗号を用いた場合においても将来的には脅威となり得ることから、対策が必要とされる。
かかる対策の一例として、調整値ごとに複数のnビットブロック暗号の鍵を用意する方法がある。特に、非特許文献4で示されているTDR(Tweak−Dependent Rekeying)は、このアイディアを用いて、調整値の長さがn/2ビットよりも十分短い場合に、ブロックサイズのバースデーバウンドを超えた安全性(CCA−security)を提供する。図8は、TDRの暗号化と復号を示す図である。TDRはバースデーバウンドを超えた高い安全性を提供するものの、調整値の長さが制約されている。汎用性を確保するためには、調整値への入力として、任意の長さを許容することが望ましい。
一方、非特許文献1に記載された方式によると、調整値の長さは実質的に任意であるものの、ブロックサイズのバースデーバウンドを超えた安全性が保証されないという問題がある。
上述のように、従来のブロック暗号を用いた調整値付きブロック暗号は、LRW、XEXのように調整値が任意長であるもののバースデー攻撃によって破られる方式、又は、TDRのようにバースデー攻撃に理論的耐性を有するものの調整値の長さが固定の短い値に限られる方式のいずれかである。
そこで、バースデー攻撃への理論的耐性を有し、調整値が任意長の調整値付きブロック暗号を実現することが課題となる。本発明の目的は、かかる課題を解決するブロック暗号化装置、ブロック復号装置、ブロック暗号化方法、ブロック復号方法及びプログラムを提供することにある。
本発明の第1の視点に係るブロック暗号化装置は、
ブロック暗号をnビットブロック、nビット鍵とし、調整値の長さをbビットとしたときに、bビットの調整値Tを入力とし、鍵K2を用いた鍵付きハッシュ関数により、nビットのマスク値S及びmビット(mはn/2未満の正整数)の中間値Vを生成する鍵付きハッシュ部と、
前記中間値Vをnビットにパディングした後、鍵K1を用いて前記中間値Vをnビットブロック暗号で暗号化してnビットの調整値依存鍵Lを生成する調整値依存鍵導出部と、
前記マスク値Sをnビットの平文Mに加算した後、前記調整値依存鍵Lを鍵とするnビットブロック暗号で暗号化し、得られた結果に前記マスク値Sを加算して暗号文Cを生成するマスク付きブロック暗号化部と、を有する。
ブロック暗号をnビットブロック、nビット鍵とし、調整値の長さをbビットとしたときに、bビットの調整値Tを入力とし、鍵K2を用いた鍵付きハッシュ関数により、nビットのマスク値S及びmビット(mはn/2未満の正整数)の中間値Vを生成する鍵付きハッシュ部と、
前記中間値Vをnビットにパディングした後、鍵K1を用いて前記中間値Vをnビットブロック暗号で暗号化してnビットの調整値依存鍵Lを生成する調整値依存鍵導出部と、
前記マスク値Sをnビットの平文Mに加算した後、前記調整値依存鍵Lを鍵とするnビットブロック暗号で暗号化し、得られた結果に前記マスク値Sを加算して暗号文Cを生成するマスク付きブロック暗号化部と、を有する。
本発明の第2の視点に係るブロック復号装置は、
ブロック暗号をnビットブロック、nビット鍵とし、調整値の長さをbビットとしたときに、bビットの調整値Tを入力とし、鍵K2を用いた鍵付きハッシュ関数により、nビットのマスク値S及びmビット(mはn/2未満の正整数)の中間値Vを生成する鍵付きハッシュ部と、
前記中間値Vをnビットにパディングした後、鍵K1を用いて前記中間値Vをnビットブロック暗号で暗号化してnビットの調整値依存鍵Lを生成する調整値依存鍵導出部と、
前記マスク値Sをnビットの暗号文Cに加算した後、前記調整値依存鍵Lを鍵とするnビットブロック暗号で復号し、得られた結果に前記マスク値Sを加算して平分Mを生成するマスク付きブロック復号部と、を有する。
ブロック暗号をnビットブロック、nビット鍵とし、調整値の長さをbビットとしたときに、bビットの調整値Tを入力とし、鍵K2を用いた鍵付きハッシュ関数により、nビットのマスク値S及びmビット(mはn/2未満の正整数)の中間値Vを生成する鍵付きハッシュ部と、
前記中間値Vをnビットにパディングした後、鍵K1を用いて前記中間値Vをnビットブロック暗号で暗号化してnビットの調整値依存鍵Lを生成する調整値依存鍵導出部と、
前記マスク値Sをnビットの暗号文Cに加算した後、前記調整値依存鍵Lを鍵とするnビットブロック暗号で復号し、得られた結果に前記マスク値Sを加算して平分Mを生成するマスク付きブロック復号部と、を有する。
本発明の第3の視点に係るブロック暗号化方法は、
コンピュータがプログラムを読み込むことにより、ブロック暗号をnビットブロック、nビット鍵とし、調整値の長さをbビットとしたときに、bビットの調整値Tを入力とし、鍵K2を用いた鍵付きハッシュ関数により、nビットのマスク値S及びmビット(mはn/2未満の正整数)の中間値Vを生成する少なくとも1つのハードウェア手段、
前記中間値Vをnビットにパディングした後、鍵K1を用いて前記中間値Vをnビットブロック暗号で暗号化してnビットの調整値依存鍵Lを生成する前記少なくとも1つのハードウェア手段、および、
前記マスク値Sをnビットの平文Mに加算した後、前記調整値依存鍵Lを鍵とするnビットブロック暗号で暗号化し、得られた結果に前記マスク値Sを加算して暗号文Cを生成する前記少なくとも1つのハードウェア手段として機能する。
コンピュータがプログラムを読み込むことにより、ブロック暗号をnビットブロック、nビット鍵とし、調整値の長さをbビットとしたときに、bビットの調整値Tを入力とし、鍵K2を用いた鍵付きハッシュ関数により、nビットのマスク値S及びmビット(mはn/2未満の正整数)の中間値Vを生成する少なくとも1つのハードウェア手段、
前記中間値Vをnビットにパディングした後、鍵K1を用いて前記中間値Vをnビットブロック暗号で暗号化してnビットの調整値依存鍵Lを生成する前記少なくとも1つのハードウェア手段、および、
前記マスク値Sをnビットの平文Mに加算した後、前記調整値依存鍵Lを鍵とするnビットブロック暗号で暗号化し、得られた結果に前記マスク値Sを加算して暗号文Cを生成する前記少なくとも1つのハードウェア手段として機能する。
本発明の第4の視点に係るブロック復号方法は、
コンピュータがプログラムを読み込むことにより、ブロック暗号をnビットブロック、nビット鍵とし、調整値の長さをbビットとしたときに、bビットの調整値Tを入力とし、鍵K2を用いた鍵付きハッシュ関数により、nビットのマスク値S及びmビット(mはn/2未満の正整数)の中間値Vを生成する少なくとも1つのハードウェア手段、
前記中間値Vをnビットにパディングした後、鍵K1を用いて前記中間値Vをnビットブロック暗号で暗号化してnビットの調整値依存鍵Lを生成する前記少なくとも1つのハードウェア手段、および、
前記マスク値Sをnビットの暗号文Cに加算した後、前記調整値依存鍵Lを鍵とするnビットブロック暗号で復号し、得られた結果に前記マスク値Sを加算して平分Mを生成する前記少なくとも1つのハードウェア手段として機能する。
コンピュータがプログラムを読み込むことにより、ブロック暗号をnビットブロック、nビット鍵とし、調整値の長さをbビットとしたときに、bビットの調整値Tを入力とし、鍵K2を用いた鍵付きハッシュ関数により、nビットのマスク値S及びmビット(mはn/2未満の正整数)の中間値Vを生成する少なくとも1つのハードウェア手段、
前記中間値Vをnビットにパディングした後、鍵K1を用いて前記中間値Vをnビットブロック暗号で暗号化してnビットの調整値依存鍵Lを生成する前記少なくとも1つのハードウェア手段、および、
前記マスク値Sをnビットの暗号文Cに加算した後、前記調整値依存鍵Lを鍵とするnビットブロック暗号で復号し、得られた結果に前記マスク値Sを加算して平分Mを生成する前記少なくとも1つのハードウェア手段として機能する。
本発明の第5の視点に係るプログラムは、
コンピュータに読み込まれることにより、ブロック暗号をnビットブロック、nビット鍵とし、調整値の長さをbビットとしたときに、bビットの調整値Tを入力とし、鍵K2を用いた鍵付きハッシュ関数により、nビットのマスク値S及びmビット(mはn/2未満の正整数)の中間値Vを生成する少なくとも1つのハードウェア手段、
前記中間値Vをnビットにパディングした後、鍵K1を用いて前記中間値Vをnビットブロック暗号で暗号化してnビットの調整値依存鍵Lを生成する前記少なくとも1つのハードウェア手段、および
前記マスク値Sをnビットの平文Mに加算した後、前記調整値依存鍵Lを鍵とするnビットブロック暗号で暗号化し、得られた結果に前記マスク値Sを加算して暗号文Cを生成する前記少なくとも1つのハードウェア手段として、前記コンピュータを機能させる。
コンピュータに読み込まれることにより、ブロック暗号をnビットブロック、nビット鍵とし、調整値の長さをbビットとしたときに、bビットの調整値Tを入力とし、鍵K2を用いた鍵付きハッシュ関数により、nビットのマスク値S及びmビット(mはn/2未満の正整数)の中間値Vを生成する少なくとも1つのハードウェア手段、
前記中間値Vをnビットにパディングした後、鍵K1を用いて前記中間値Vをnビットブロック暗号で暗号化してnビットの調整値依存鍵Lを生成する前記少なくとも1つのハードウェア手段、および
前記マスク値Sをnビットの平文Mに加算した後、前記調整値依存鍵Lを鍵とするnビットブロック暗号で暗号化し、得られた結果に前記マスク値Sを加算して暗号文Cを生成する前記少なくとも1つのハードウェア手段として、前記コンピュータを機能させる。
本発明の第6の視点に係るプログラムは、
コンピュータに読み込まれることにより、ブロック暗号をnビットブロック、nビット鍵とし、調整値の長さをbビットとしたときに、bビットの調整値Tを入力とし、鍵K2を用いた鍵付きハッシュ関数により、nビットのマスク値S及びmビット(mはn/2未満の正整数)の中間値Vを生成する少なくとも1つのハードウェア手段、
前記中間値Vをnビットにパディングした後、鍵K1を用いて前記中間値Vをnビットブロック暗号で暗号化してnビットの調整値依存鍵Lを生成する前記少なくとも1つのハードウェア手段、および、
前記マスク値Sをnビットの暗号文Cに加算した後、前記調整値依存鍵Lを鍵とするnビットブロック暗号で復号し、得られた結果に前記マスク値Sを加算して平分Mを生成する前記少なくとも1つのハードウェア手段として、前記コンピュータを機能させる。
コンピュータに読み込まれることにより、ブロック暗号をnビットブロック、nビット鍵とし、調整値の長さをbビットとしたときに、bビットの調整値Tを入力とし、鍵K2を用いた鍵付きハッシュ関数により、nビットのマスク値S及びmビット(mはn/2未満の正整数)の中間値Vを生成する少なくとも1つのハードウェア手段、
前記中間値Vをnビットにパディングした後、鍵K1を用いて前記中間値Vをnビットブロック暗号で暗号化してnビットの調整値依存鍵Lを生成する前記少なくとも1つのハードウェア手段、および、
前記マスク値Sをnビットの暗号文Cに加算した後、前記調整値依存鍵Lを鍵とするnビットブロック暗号で復号し、得られた結果に前記マスク値Sを加算して平分Mを生成する前記少なくとも1つのハードウェア手段として、前記コンピュータを機能させる。
本発明に係るブロック暗号化装置、ブロック復号装置、ブロック暗号化方法、ブロック復号方法及びプログラムによると、バースデー攻撃への理論的耐性を有し、調整値が任意長の調整値付きブロック暗号を実現することができる。
(実施形態1)
第1の実施形態に係るブロック暗号化装置について、図面を参照して説明する。図1は、本実施形態の調整値付きのブロック暗号化装置10の構成を示すブロック図である。一方、図2は、ブロック暗号化装置10の構成を概略的に示す図である。
第1の実施形態に係るブロック暗号化装置について、図面を参照して説明する。図1は、本実施形態の調整値付きのブロック暗号化装置10の構成を示すブロック図である。一方、図2は、ブロック暗号化装置10の構成を概略的に示す図である。
図1を参照すると、ブロック暗号化装置10は、入力部100、鍵付きハッシュ部101、調整値依存鍵導出部102、マスク付きブロック暗号化部103及び出力部104を有する。
ブロック暗号化装置10は、例えば、CPUとメモリとディスクにより実現することができる。
ブロック暗号化装置10の各部は、プログラムをディスクに格納しておき、このプログラムをCPU上で動作させることによって実現することができる。
次に、ブロック暗号化装置10を構成する各部について説明する。
用いるブロック暗号を、nビットブロック、nビット鍵とし、調整値の長さを任意の正整数bについてbビットとする。m(1<m<n/2)をセキュリティパラメータとすると、この値が安全性を決める。
入力部100は、暗号化の対象となるnビットの平文Mとbビットの調整値Tを入力する。入力部100は、例えば、キーボードなどの文字入力装置によって実現することができる。
図1及び図2を参照すると、鍵付きハッシュ部101は、入力された調整値Tを入力として、鍵K2を用いた鍵付きハッシュ関数Hにより、nビットのマスク値Sと、mビットの中間値Vを生成する。
鍵付きハッシュ関数Hについては、任意の異なる2つの調整値TとT’に対応するマスク値、中間値のペアをそれぞれ(S,V)と(S’,V’)としたとき、確率
Pr[S+S’=c,V=V’]≦e …(5)
がどのようなT,T’,cについても成立するものとする。ただし、S+S’はSとS’のビット単位の排他的論理和を表す。ここで、eは2−(n+m)に十分近いことが必要とされる。
Pr[S+S’=c,V=V’]≦e …(5)
がどのようなT,T’,cについても成立するものとする。ただし、S+S’はSとS’のビット単位の排他的論理和を表す。ここで、eは2−(n+m)に十分近いことが必要とされる。
式(5)の条件は、Hがe−AXU関数と呼ばれる性質を満たせば十分である。このための具体的な構成方法としては、例えば、bがn+m以下の場合、鍵K2をn+mビットとし、Tに適当なパディングを施しn+mビットとした後、パディングされたTと、K2との有限体GF(2n+m)上の乗算mulを求め、そこからSとVを取り出せばよい。このとき、eは2−(n+m)となる。
e−AXU関数は、有限体GF(2n+m)上の乗算mul以外に、非特許文献3で提案されている方式で実現することもできる。これらは、特定の実装環境において、一般的なブロック暗号より数倍高速となることが知られている。
調整値依存鍵導出部102は、中間値Vと鍵K1を用いて、調整値依存鍵と呼ばれる新たなブロック暗号の鍵Lを生成する。
具体的に、調整値依存鍵Lは、ブロック暗号の暗号化関数をEnc(x,y)(ただしxは鍵、yは平文)で表すとすると、
L=Enc(K1,pad(V)) …(6)
となる(図2参照)。padは、mビット入力を適当にパディングしてnビットとするパディング関数である。パディング関数padは、例えば、入力されたmビットの後ろにn−mビットの0をパディングするようにしてもよい。
L=Enc(K1,pad(V)) …(6)
となる(図2参照)。padは、mビット入力を適当にパディングしてnビットとするパディング関数である。パディング関数padは、例えば、入力されたmビットの後ろにn−mビットの0をパディングするようにしてもよい。
図1及び図2を参照すると、マスク付きブロック暗号化部103は、調整値依存鍵導出部102が出力する調整値依存鍵Lと鍵付きハッシュ部101が出力するマスク値Sを用いて平文Mを暗号文Cへ暗号化する。
具体的には、暗号文Cは
C=Enc(L,M+S)+S …(7)
となる。
C=Enc(L,M+S)+S …(7)
となる。
出力部104は、マスク付きブロック暗号化部103の出力する暗号文Cを出力する。出力部104は、コンピュータディスプレイ、プリンタ等によって実現することができる。
本発明を具体的に通信やデータストレージにおける暗号化に使用する場合、本発明で得られるnビットブロック、bビット調整値のブロック暗号を何らかの暗号モードで使用することが考えられる。例えば、非特許文献1に記載されている、調整値付きブロック暗号のモードであるTweak Block ChainingやTweak Chain Hash、Tweakable Authenticated Encryptionなどで使用することが可能である。
さらに、ハードディスクなどデータストレージの暗号化においては、IEEEにおけるストレージ暗号方式標準化で議論されているモードが適用可能である。これは、ハードディスクのセクタとセクタ中のバイトポジション(1セクタは通常512バイト)に応じてマスク値を足しつつECB(Electronic Code Book)モードのように並列に暗号化を行うものである。この方法では、例えばn=128とし、本発明で得られる128ビットブロック、128ビット調整値付きブロック暗号の暗号化関数をTENC(鍵K、調整値T、平文Mでの暗号化はTENC(K,T,M))とすると、まずセクタの内容を128ビット(16バイト)ごとに分割する。分割した結果を(m1,m2,…,m32)、ただし、miは16バイトとする。このとき、mi(i=1,…,32)をTENC(K,(SecNum||i),mi)と暗号化する。ただし、SecNumはセクタ番号であり、||はビット系列の連結を表す。すなわち、セクタ番号SecNumの第iブロックを、調整値(SecNum||i)で暗号化するものである。
次に、本実施形態のブロック暗号化装置の全体の動作について、図面を参照して説明する。図3は、本実施形態のブロック暗号化装置の全体の動作を示すフローチャートである。
図3を参照すると、入力部100は、nビットの平文Mとbビットの調整値Tを入力とする(ステップE1)。
次に、鍵付きハッシュ部101は、mビット(ただし1<m<n/2)の中間値Vとnビットのマスク値Sを生成する(ステップE2)。
次に、調整値依存鍵導出部102は、中間値Vをnビットにパディングして暗号化することで、nビットの調整値依存鍵Lを求める(ステップE3)。
次に、マスク付きブロック暗号化部103は、Lを鍵、Sをマスク値として、式(7)に従ってMのマスク付き暗号化を行い、暗号文Cを得る(ステップE4)。
最後に、出力部104は、得られた暗号文Cを出力する(ステップE5)。
本実施形態に係るブロック暗号化装置10は、nビットブロック、nビット鍵のブロック暗号について、調整値(tweak)に依存してブロック暗号の鍵Lとnビットのマスク値Sを導出し、これを用いて平文の暗号化を行う。平文はLを鍵としたブロック暗号により暗号化されるが、鍵Lによる暗号化の前後でSによる排他的論理和を入れる。具体的には、調整値Tをn+mビット出力のユニバーサルハッシュ関数へ入力し、nビットのSとmビットの中間値Vを得た後、Vをnビットにパディングしてブロック暗号で暗号化することで、鍵Lを得る。上記の方法は、部品としてnビット鍵、nビットブロックの安全なブロック暗号を用い、かつ、セキュリティパラメータmがn/2未満の場合、攻撃者が2n/2回の選択暗号文攻撃を行っても、攻撃が成功する確率を高々2−m/2に抑えることができる。したがって、本実施形態に係る暗号化装置10は、ブロックサイズnに対するバースデー攻撃に対する理論的耐性(CCA−security)を有する。
(実施形態2)
次に、第2の実施形態に係るブロック復号装置について、図面を参照して説明する。図4は、本実施形態の調整値付きのブロック復号装置20の構成を示すブロック図である。一方、図5は、ブロック復号装置20の構成を概略的に示す図である。
次に、第2の実施形態に係るブロック復号装置について、図面を参照して説明する。図4は、本実施形態の調整値付きのブロック復号装置20の構成を示すブロック図である。一方、図5は、ブロック復号装置20の構成を概略的に示す図である。
図4を参照すると、調整値付きのブロック復号装置20は、入力部200、鍵付きハッシュ部201、調整値依存鍵導出部202、マスク付きブロック復号部203及び出力部204を有する。
ブロック復号装置20は、CPUとメモリとディスクによって実現することができる。
ブロック復号装置20の各部は、プログラムをディスクに格納しておき、このプログラムをCPU上で動作させることにより実現することができる。
次に、ブロック復号装置20を構成する各部について説明する。
用いるブロック暗号を、nビットブロック、nビット鍵とし、調整値の長さを任意の正整数bについて、bビットとする。m(1<m<n/2)をセキュリティパラメータとすると、この値が安全性を決定する。
入力部200は、復号の対象となるnビットの暗号文Cとbビットの調整値Tを入力する。入力部200は、例えば、キーボードなどの文字入力装置によって実現することができる。
図4及び図5を参照すると、鍵付きハッシュ部201及び調整値依存鍵導出部202は、それぞれ、第1の発明の実施の形態のブロック暗号化装置10における鍵付きハッシュ部101及び調整値依存鍵導出部102(図1、図2)と同様の動作を行う。
図4及び図5を参照すると、マスク付きブロック復号部203は、調整値依存鍵導出部202が出力する調整値依存鍵Lと鍵付きハッシュ部201が出力するマスク値Sを用いて、暗号文Cを平文Mへ復号する。
具体的には、復号関数をDec(x,y)(ただしxは鍵、yは暗号文)で表すとすると、平文Mは
M=Dec(L,C+S)+S …(8)
となる。
M=Dec(L,C+S)+S …(8)
となる。
出力部204は、マスク付きブロック復号部203の出力する平文Mを出力する。出力部204は、コンピュータディスプレイ、プリンタ等によって実現することができる。
次に、本実施形態のブロック復号装置20の全体の動作について、図面を参照して説明する。図6は、本実施形態のブロック復号装置20の全体の動作を示すフローチャートである。
図6を参照すると、入力部200は、nビットの暗号文Cとbビットの調整値Tを入力とする(ステップD1)。
次に、鍵付きハッシュ部201は、mビット(ただし1<m<n/2)の中間値Vとnビットのマスク値Sを生成する(ステップD2)。
次に、調整値依存鍵導出部202は、中間値Vをnビットにパディングして暗号化することで、nビットの調整値依存鍵Lを求める(ステップD3)。
次に、マスク付きブロック復号部203は、Lを鍵、Sをマスク値として、式(8)に従ってCのマスク付き復号を行い、平文Mを得る(ステップD4)。
最後に、出力部204は、得られた平文Mを出力する(ステップD5)。
上記第1の実施形態に係るブロック暗号化装置10及び第2の実施形態に係るブロック復号装置20は、コンピュータとその上で実行されるプログラムによって実現することもできる。
本発明によると、バースデーバウンドを超えた安全性を保証する、調整値が任意長の調整値付きブロック暗号を効率よく実現することができる。
その理由は、提案方式でnビットブロックのブロック暗号Eを部品として用いる場合、Eが理論的に安全で、m<n/2をセキュリティパラメータとした場合、攻撃者が用いる平文・暗号文対の数が2(n+m)/2より十分小さい場合に理論的安全性を持つ、すなわち、2n/2回の暗号化によるバースデー攻撃に対する理論的耐性を持つからである。ここで、mは耐性の強さをコントロールするパラメータであり、例えば、非特許文献4に記載されるようにm=n/3に設定することができる。
この安全性の保証は、非特許文献4に記載のTDRをモジュールとして利用することによる。TDRにおいては、mビット調整値をパディングした結果を直接暗号化することで調整値依存の鍵Lを導出していたのに対して、本発明では調整値をn+mビット出力の鍵付きハッシュ関数へ入力し、この出力のnビットを非特許文献1のLRWのマスク値として扱い、残りのmビットをTDRにおける調整値として扱うことにより、バースデーバウンドを越えた理論的安全性がTDRと同様に保証され、LRWと同様に調整値が任意長であるという特徴も備えている。
本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態の変更・調整が可能である。また、本発明の請求の範囲の枠内において種々の開示要素の多様な組み合わせないし選択が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。
本発明に係るブロック暗号化装置及びブロック復号装置は、無線又は有線のデータ通信における認証と暗号化、ストレージ上のデータの暗号化と改ざん防止等の用途に適用することができる。
なお、上記実施形態の一部又は全部は、以下の付記として記載することができるものであるが、これらに限定されるものではない。
(付記1)ブロック暗号をnビットブロック、nビット鍵とし、調整値の長さをbビットとしたときに、bビットの調整値Tを入力とし、鍵K2を用いた鍵付きハッシュ関数により、nビットのマスク値Sとmビット(mはn/2未満の正整数)の中間値Vとを生成する鍵付きハッシュ部と、
前記中間値Vをnビットにパディングした後、鍵K1を用いて前記中間値Vをnビットブロック暗号で暗号化してnビットの調整値依存鍵Lを生成する調整値依存鍵導出部と、
前記マスク値Sをnビットの平文Mに加算した後、前記調整値依存鍵Lを鍵とするnビットブロック暗号で暗号化し、得られた結果に前記マスク値Sを加算して暗号文Cを生成するマスク付きブロック暗号化部と、を備えていることを特徴とするブロック暗号化装置。
前記中間値Vをnビットにパディングした後、鍵K1を用いて前記中間値Vをnビットブロック暗号で暗号化してnビットの調整値依存鍵Lを生成する調整値依存鍵導出部と、
前記マスク値Sをnビットの平文Mに加算した後、前記調整値依存鍵Lを鍵とするnビットブロック暗号で暗号化し、得られた結果に前記マスク値Sを加算して暗号文Cを生成するマスク付きブロック暗号化部と、を備えていることを特徴とするブロック暗号化装置。
(付記2)前記鍵付きハッシュ関数Hは、任意の異なる2つの調整値TとT’に対応するマスク値、中間値のペアをそれぞれ(S,V)と(S’,V’)とし、S+S’をSとS’のビット単位の排他的論理和とし、eを2−(n+m)に十分近い値とした場合に、確率
Pr[S+S’=c,V=V’]≦e
が任意のT,T’,cについて成立する関数であることを特徴とする、付記1に記載のブロック暗号化装置。
Pr[S+S’=c,V=V’]≦e
が任意のT,T’,cについて成立する関数であることを特徴とする、付記1に記載のブロック暗号化装置。
(付記3)前記調整値依存鍵導出部は、前記中間値Vの後ろに、n−mビットの0をパディングすることを特徴とする、付記1又は2に記載のブロック暗号化装置。
(付記4)前記調整値T及び前記平文Mを入力とする入力部をさらに備えていることを特徴とする、付記1乃至3のいずれか一に記載のブロック暗号化装置。
(付記5)前記暗号文Cを出力する出力部をさらに備えていることを特徴とする、付記1乃至4のいずれか一に記載のブロック暗号化装置。
(付記6)ブロック暗号をnビットブロック、nビット鍵とし、調整値の長さをbビットとしたときに、bビットの調整値Tを入力とし、鍵K2を用いた鍵付きハッシュ関数により、nビットのマスク値Sとmビット(mはn/2未満の正整数)の中間値Vとを生成する鍵付きハッシュ部と、
前記中間値Vをnビットにパディングした後、鍵K1を用いて前記中間値Vをnビットブロック暗号で暗号化してnビットの調整値依存鍵Lを生成する調整値依存鍵導出部と、
前記マスク値Sをnビットの暗号文Cに加算した後、前記調整値依存鍵Lを鍵とするnビットブロック暗号で復号し、得られた結果に前記マスク値Sを加算して平分Mを生成するマスク付きブロック復号部と、を備えていることを特徴とするブロック復号装置。
前記中間値Vをnビットにパディングした後、鍵K1を用いて前記中間値Vをnビットブロック暗号で暗号化してnビットの調整値依存鍵Lを生成する調整値依存鍵導出部と、
前記マスク値Sをnビットの暗号文Cに加算した後、前記調整値依存鍵Lを鍵とするnビットブロック暗号で復号し、得られた結果に前記マスク値Sを加算して平分Mを生成するマスク付きブロック復号部と、を備えていることを特徴とするブロック復号装置。
(付記7)前記鍵付きハッシュ関数Hは、任意の異なる2つの調整値TとT’に対応するマスク値、中間値のペアをそれぞれ(S,V)と(S’,V’)とし、S+S’をSとS’のビット単位の排他的論理和とし、eを2−(n+m)に十分近い値とした場合に、確率
Pr[S+S’=c,V=V’]≦e
が任意のT,T’,cについて成立する関数であることを特徴とする、付記6に記載のブロック復号装置。
Pr[S+S’=c,V=V’]≦e
が任意のT,T’,cについて成立する関数であることを特徴とする、付記6に記載のブロック復号装置。
(付記8)前記調整値依存鍵導出部は、前記中間値Vの後ろに、n−mビットの0をパディングすることを特徴とする、付記6又は7に記載のブロック復号装置。
(付記9)前記調整値T及び前記暗号文Cを入力とする入力部をさらに備えていることを特徴とする、付記6乃至8のいずれか一に記載のブロック復号装置。
(付記10)前記平文Mを出力する出力部をさらに備えていることを特徴とする、付記6乃至9のいずれか一に記載のブロック復号装置。
(付記11)コンピュータが、ブロック暗号をnビットブロック、nビット鍵とし、調整値の長さをbビットとしたときに、bビットの調整値Tを入力とし、鍵K2を用いた鍵付きハッシュ関数により、nビットのマスク値Sとmビット(mはn/2未満の正整数)の中間値Vとを生成する工程と、
前記中間値Vをnビットにパディングした後、鍵K1を用いて前記中間値Vをnビットブロック暗号で暗号化してnビットの調整値依存鍵Lを生成する工程と、
前記マスク値Sをnビットの平文Mに加算した後、前記調整値依存鍵Lを鍵とするnビットブロック暗号で暗号化し、得られた結果に前記マスク値Sを加算して暗号文Cを生成する工程と、を含むことを特徴とするブロック暗号化方法。
前記中間値Vをnビットにパディングした後、鍵K1を用いて前記中間値Vをnビットブロック暗号で暗号化してnビットの調整値依存鍵Lを生成する工程と、
前記マスク値Sをnビットの平文Mに加算した後、前記調整値依存鍵Lを鍵とするnビットブロック暗号で暗号化し、得られた結果に前記マスク値Sを加算して暗号文Cを生成する工程と、を含むことを特徴とするブロック暗号化方法。
(付記12)コンピュータが、入力部を介して、前記調整値T及び前記平文Mを入力とする工程をさらに含むことを特徴とする、付記11に記載のブロック暗号化方法。
(付記13)コンピュータが、出力部に対して、前記暗号文Cを出力する工程をさらに含むことを特徴とする、付記11又は12に記載のブロック暗号化方法。
(付記14)コンピュータが、ブロック暗号をnビットブロック、nビット鍵とし、調整値の長さをbビットとしたときに、bビットの調整値Tを入力とし、鍵K2を用いた鍵付きハッシュ関数により、nビットのマスク値Sとmビット(mはn/2未満の正整数)の中間値Vとを生成する工程と、
前記中間値Vをnビットにパディングした後、鍵K1を用いて前記中間値Vをnビットブロック暗号で暗号化してnビットの調整値依存鍵Lを生成する工程と、
前記マスク値Sをnビットの暗号文Cに加算した後、前記調整値依存鍵Lを鍵とするnビットブロック暗号で復号し、得られた結果に前記マスク値Sを加算して平分Mを生成する工程と、を含むことを特徴とするブロック復号方法。
前記中間値Vをnビットにパディングした後、鍵K1を用いて前記中間値Vをnビットブロック暗号で暗号化してnビットの調整値依存鍵Lを生成する工程と、
前記マスク値Sをnビットの暗号文Cに加算した後、前記調整値依存鍵Lを鍵とするnビットブロック暗号で復号し、得られた結果に前記マスク値Sを加算して平分Mを生成する工程と、を含むことを特徴とするブロック復号方法。
(付記15)コンピュータが、入力部を介して、前記調整値T及び前記暗号文Cを入力とする工程をさらに含むことを特徴とする、付記14に記載のブロック復号方法。
(付記16)コンピュータが、出力部に対して、前記平文Mを出力する工程をさらに含むことを特徴とする、付記14又は15に記載のブロック復号方法。
(付記17)ブロック暗号をnビットブロック、nビット鍵とし、調整値の長さをbビットとしたときに、bビットの調整値Tを入力とし、鍵K2を用いた鍵付きハッシュ関数により、nビットのマスク値Sとmビット(mはn/2未満の正整数)の中間値Vとを生成する処理と、
前記中間値Vをnビットにパディングした後、鍵K1を用いて前記中間値Vをnビットブロック暗号で暗号化してnビットの調整値依存鍵Lを生成する処理と、
前記マスク値Sをnビットの平文Mに加算した後、前記調整値依存鍵Lを鍵とするnビットブロック暗号で暗号化し、得られた結果に前記マスク値Sを加算して暗号文Cを生成する処理と、をコンピュータに実行させることを特徴とするプログラム。
前記中間値Vをnビットにパディングした後、鍵K1を用いて前記中間値Vをnビットブロック暗号で暗号化してnビットの調整値依存鍵Lを生成する処理と、
前記マスク値Sをnビットの平文Mに加算した後、前記調整値依存鍵Lを鍵とするnビットブロック暗号で暗号化し、得られた結果に前記マスク値Sを加算して暗号文Cを生成する処理と、をコンピュータに実行させることを特徴とするプログラム。
(付記18)入力部を介して、前記調整値T及び前記平文Mを入力とする処理をさらにコンピュータに実行させることを特徴とする、付記17に記載のプログラム。
(付記19)出力部に対して、前記暗号文Cを出力する処理をさらにコンピュータに実行させることを特徴とする、付記17又は18に記載のプログラム。
(付記20)ブロック暗号をnビットブロック、nビット鍵とし、調整値の長さをbビットとしたときに、bビットの調整値Tを入力とし、鍵K2を用いた鍵付きハッシュ関数により、nビットのマスク値Sとmビット(mはn/2未満の正整数)の中間値Vとを生成する処理と、
前記中間値Vをnビットにパディングした後、鍵K1を用いて前記中間値Vをnビットブロック暗号で暗号化してnビットの調整値依存鍵Lを生成する処理と、
前記マスク値Sをnビットの暗号文Cに加算した後、前記調整値依存鍵Lを鍵とするnビットブロック暗号で復号し、得られた結果に前記マスク値Sを加算して平分Mを生成する処理と、をコンピュータに実行させることを特徴とするプログラム。
前記中間値Vをnビットにパディングした後、鍵K1を用いて前記中間値Vをnビットブロック暗号で暗号化してnビットの調整値依存鍵Lを生成する処理と、
前記マスク値Sをnビットの暗号文Cに加算した後、前記調整値依存鍵Lを鍵とするnビットブロック暗号で復号し、得られた結果に前記マスク値Sを加算して平分Mを生成する処理と、をコンピュータに実行させることを特徴とするプログラム。
(付記21)入力部を介して、前記調整値T及び前記暗号文Cを入力とする処理をさらにコンピュータに実行させることを特徴とする、付記20に記載のプログラム。
(付記22)出力部に対して、前記平文Mを出力する処理をさらにコンピュータに実行させることを特徴とする、付記20又は21に記載のプログラム。
(付記23)付記17乃至22のいずれか一に記載のプログラムが記録されていることを特徴とするコンピュータ読み取り可能な記録媒体。
10 ブロック暗号化装置
20 ブロック復号装置
100、200 入力部
101、201 鍵付きハッシュ部
102、202 調整値依存鍵導出部
103 マスク付きブロック暗号化部
104、204 出力部
203 マスク付きブロック復号部
C 暗号文
Dec、TWDEC 復号関数
Enc、TWENC、TENC 暗号化関数
F 鍵付き関数
f e−AXU関数
GF(*) 有限体
H ハッシュ関数
K1、K2 鍵
L 調整値依存鍵
M 平文
mul 乗算
pad パディング関数
S、S’ マスク値
SecNum セクタ番号
T、T’ 調整値
V、V’ 中間値
20 ブロック復号装置
100、200 入力部
101、201 鍵付きハッシュ部
102、202 調整値依存鍵導出部
103 マスク付きブロック暗号化部
104、204 出力部
203 マスク付きブロック復号部
C 暗号文
Dec、TWDEC 復号関数
Enc、TWENC、TENC 暗号化関数
F 鍵付き関数
f e−AXU関数
GF(*) 有限体
H ハッシュ関数
K1、K2 鍵
L 調整値依存鍵
M 平文
mul 乗算
pad パディング関数
S、S’ マスク値
SecNum セクタ番号
T、T’ 調整値
V、V’ 中間値
Claims (12)
- ブロック暗号をnビットブロック、nビット鍵とし、調整値の長さをbビットとしたときに、bビットの調整値Tを入力とし、鍵K2を用いた鍵付きハッシュ関数により、nビットのマスク値S及びmビット(mはn/2未満の正整数)の中間値Vを生成する鍵付きハッシュ部と、
前記中間値Vをnビットにパディングした後、鍵K1を用いて前記中間値Vをnビットブロック暗号で暗号化してnビットの調整値依存鍵Lを生成する調整値依存鍵導出部と、
前記マスク値Sをnビットの平文Mに加算した後、前記調整値依存鍵Lを鍵とするnビットブロック暗号で暗号化し、得られた結果に前記マスク値Sを加算して暗号文Cを生成するマスク付きブロック暗号化部と、を備えていることを特徴とするブロック暗号化装置。 - 前記鍵付きハッシュ関数Hは、任意の異なる2つの調整値TとT’に対応するマスク値、中間値のペアをそれぞれ(S,V)と(S’,V’)とし、S+S’をSとS’のビット単位の排他的論理和とし、eを2−(n+m)に十分近い値とした場合に、確率
Pr[S+S’=c,V=V’]≦e
が任意のT,T’,cについて成立する関数であることを特徴とする、請求項1に記載のブロック暗号化装置。 - 前記調整値依存鍵導出部は、前記中間値Vの後ろに、n−mビットの0をパディングすることを特徴とする、請求項1又は2に記載のブロック暗号化装置。
- 前記調整値T及び前記平文Mを入力とする入力部をさらに備えていることを特徴とする、請求項1乃至3のいずれか1項に記載のブロック暗号化装置。
- 前記暗号文Cを出力する出力部をさらに備えていることを特徴とする、請求項1乃至4のいずれか1項に記載のブロック暗号化装置。
- ブロック暗号をnビットブロック、nビット鍵とし、調整値の長さをbビットとしたときに、bビットの調整値Tを入力とし、鍵K2を用いた鍵付きハッシュ関数により、nビットのマスク値S及びmビット(mはn/2未満の正整数)の中間値Vを生成する鍵付きハッシュ部と、
前記中間値Vをnビットにパディングした後、鍵K1を用いて前記中間値Vをnビットブロック暗号で暗号化してnビットの調整値依存鍵Lを生成する調整値依存鍵導出部と、
前記マスク値Sをnビットの暗号文Cに加算した後、前記調整値依存鍵Lを鍵とするnビットブロック暗号で復号し、得られた結果に前記マスク値Sを加算して平分Mを生成するマスク付きブロック復号部と、を備えていることを特徴とするブロック復号装置。 - 前記鍵付きハッシュ関数Hは、任意の異なる2つの調整値TとT’に対応するマスク値、中間値のペアをそれぞれ(S,V)と(S’,V’)とし、S+S’をSとS’のビット単位の排他的論理和とし、eを2−(n+m)に十分近い値とした場合に、確率
Pr[S+S’=c,V=V’]≦e
が任意のT,T’,cについて成立する関数であることを特徴とする、請求項6に記載のブロック復号装置。 - 前記調整値依存鍵導出部は、前記中間値Vの後ろに、n−mビットの0をパディングすることを特徴とする、請求項6又は7に記載のブロック復号装置。
- コンピュータがプログラムを読み込むことにより、ブロック暗号をnビットブロック、nビット鍵とし、調整値の長さをbビットとしたときに、bビットの調整値Tを入力とし、鍵K2を用いた鍵付きハッシュ関数により、nビットのマスク値S及びmビット(mはn/2未満の正整数)の中間値Vを生成する少なくとも1つのハードウェア手段、
前記中間値Vをnビットにパディングした後、鍵K1を用いて前記中間値Vをnビットブロック暗号で暗号化してnビットの調整値依存鍵Lを生成する前記少なくとも1つのハードウェア手段、および、
前記マスク値Sをnビットの平文Mに加算した後、前記調整値依存鍵Lを鍵とするnビットブロック暗号で暗号化し、得られた結果に前記マスク値Sを加算して暗号文Cを生成する前記少なくとも1とのハードウェア手段として機能する、ことを特徴とするブロック暗号化方法。 - コンピュータがプログラムを読み込むことにより、ブロック暗号をnビットブロック、nビット鍵とし、調整値の長さをbビットとしたときに、bビットの調整値Tを入力とし、鍵K2を用いた鍵付きハッシュ関数により、nビットのマスク値S及びmビット(mはn/2未満の正整数)の中間値Vを生成する少なくとも1つのハードウェア手段、
前記中間値Vをnビットにパディングした後、鍵K1を用いて前記中間値Vをnビットブロック暗号で暗号化してnビットの調整値依存鍵Lを生成する前記少なくとも1つのハードウェア手段、および、
前記マスク値Sをnビットの暗号文Cに加算した後、前記調整値依存鍵Lを鍵とするnビットブロック暗号で復号し、得られた結果に前記マスク値Sを加算して平分Mを生成する前記少なくとも1つのハードウェア手段として機能する、ことを特徴とするブロック復号方法。 - コンピュータに読み込まれることにより、ブロック暗号をnビットブロック、nビット鍵とし、調整値の長さをbビットとしたときに、bビットの調整値Tを入力とし、鍵K2を用いた鍵付きハッシュ関数により、nビットのマスク値S及びmビット(mはn/2未満の正整数)の中間値Vを生成する少なくとも1つのハードウェア手段、
前記中間値Vをnビットにパディングした後、鍵K1を用いて前記中間値Vをnビットブロック暗号で暗号化してnビットの調整値依存鍵Lを生成する前記少なくとも1つのハードウェア手段、および、
前記マスク値Sをnビットの平文Mに加算した後、前記調整値依存鍵Lを鍵とするnビットブロック暗号で暗号化し、得られた結果に前記マスク値Sを加算して暗号文Cを生成する前記少なくとも1つのハードウェア手段として、前記コンピュータを機能させることを特徴とするプログラム。 - コンピュータに読み込まれることにより、ブロック暗号をnビットブロック、nビット鍵とし、調整値の長さをbビットとしたときに、bビットの調整値Tを入力とし、鍵K2を用いた鍵付きハッシュ関数により、nビットのマスク値S及びmビット(mはn/2未満の正整数)の中間値Vを生成する少なくとも1つのハードウェア手段、
前記中間値Vをnビットにパディングした後、鍵K1を用いて前記中間値Vをnビットブロック暗号で暗号化してnビットの調整値依存鍵Lを生成する前記少なくとも1つのハードウェア手段、および、
前記マスク値Sをnビットの暗号文Cに加算した後、前記調整値依存鍵Lを鍵とするnビットブロック暗号で復号し、得られた結果に前記マスク値Sを加算して平分Mを生成する前記少なくとも1つのハードウェア手段として、前記コンピュータを機能させることを特徴とするプログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012501785A JP5704159B2 (ja) | 2010-02-24 | 2011-02-22 | ブロック暗号化装置、ブロック復号装置、ブロック暗号化方法、ブロック復号方法及びプログラム |
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010038975 | 2010-02-24 | ||
| JP2010038975 | 2010-02-24 | ||
| JP2012501785A JP5704159B2 (ja) | 2010-02-24 | 2011-02-22 | ブロック暗号化装置、ブロック復号装置、ブロック暗号化方法、ブロック復号方法及びプログラム |
| PCT/JP2011/053832 WO2011105367A1 (ja) | 2010-02-24 | 2011-02-22 | ブロック暗号化装置、ブロック復号装置、ブロック暗号化方法、ブロック復号方法及びプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2011105367A1 JPWO2011105367A1 (ja) | 2013-06-20 |
| JP5704159B2 true JP5704159B2 (ja) | 2015-04-22 |
Family
ID=44506773
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012501785A Expired - Fee Related JP5704159B2 (ja) | 2010-02-24 | 2011-02-22 | ブロック暗号化装置、ブロック復号装置、ブロック暗号化方法、ブロック復号方法及びプログラム |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20120314857A1 (ja) |
| JP (1) | JP5704159B2 (ja) |
| WO (1) | WO2011105367A1 (ja) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5845824B2 (ja) * | 2011-11-04 | 2016-01-20 | 富士通株式会社 | 暗号化プログラム、復号化プログラム、暗号化方法、復号化方法、システム、コンテンツの生成方法およびコンテンツの復号化方法 |
| WO2014013680A1 (ja) * | 2012-07-18 | 2014-01-23 | 日本電気株式会社 | ユニバーサルハッシュ関数演算装置、方法およびプログラム |
| US20150058639A1 (en) * | 2013-08-23 | 2015-02-26 | Kabushiki Kaisha Toshiba | Encryption processing device and storage device |
| US9571270B2 (en) | 2013-11-29 | 2017-02-14 | Portland State University | Construction and uses of variable-input-length tweakable ciphers |
| US9405919B2 (en) | 2014-03-11 | 2016-08-02 | Qualcomm Incorporated | Dynamic encryption keys for use with XTS encryption systems employing reduced-round ciphers |
| US9614666B2 (en) | 2014-12-23 | 2017-04-04 | Intel Corporation | Encryption interface |
| WO2017056150A1 (ja) | 2015-09-28 | 2017-04-06 | 三菱電機株式会社 | メッセージ認証子生成装置、メッセージ認証子生成方法及びメッセージ認証子生成プログラム |
| US10855443B2 (en) | 2016-07-29 | 2020-12-01 | Cryptography Research Inc. | Protecting polynomial hash functions from external monitoring attacks |
| DE112017007095T5 (de) * | 2017-02-21 | 2019-11-21 | Mitsubishi Electric Corporation | Verschlüsselungsvorrichtung und entschlüsselungsvorrichtung |
| WO2018154642A1 (ja) | 2017-02-22 | 2018-08-30 | 三菱電機株式会社 | メッセージ認証子生成装置 |
| EP3584989B1 (en) * | 2018-06-18 | 2023-09-27 | Secure-IC SAS | Tweakable block ciphers for secure data encryption |
| WO2021152707A1 (ja) * | 2020-01-28 | 2021-08-05 | 日本電信電話株式会社 | 暗号システム、暗号化方法、復号方法及びプログラム |
| EP4064607B1 (en) * | 2020-02-06 | 2023-10-18 | Mitsubishi Electric Corporation | Encryption device, decryption device, encryption method, decryption method, encryption program, and decryption program |
| DE102022004632B3 (de) * | 2022-12-12 | 2024-03-21 | Mercedes-Benz Group AG | Verfahren zur Verschlüsselung eines Klartextes |
| CN119814281B (zh) * | 2024-11-25 | 2025-10-31 | 北京计算机技术及应用研究所 | 一种可大调整的可调分组密码工作模式设计方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6243470B1 (en) * | 1998-02-04 | 2001-06-05 | International Business Machines Corporation | Method and apparatus for advanced symmetric key block cipher with variable length key and block |
| WO2008018303A1 (en) * | 2006-08-10 | 2008-02-14 | Nec Corporation | Adjusting function-equipped block encryption device, method, and program |
| WO2009128370A1 (ja) * | 2008-04-15 | 2009-10-22 | 日本電気株式会社 | 調整値付きブロック暗号装置、暗号生成方法および記録媒体 |
| US20090310778A1 (en) * | 2008-06-17 | 2009-12-17 | Clay Von Mueller | Variable-length cipher system and method |
| WO2010024004A1 (ja) * | 2008-08-29 | 2010-03-04 | 日本電気株式会社 | 調整値付きブロック暗号化装置、調整値付きブロック暗号化方法及び調整値付きブロック暗号化プログラム並びに調整値付きブロック復号装置、調整値付きブロック復号方法及び調整値付きブロック復号プログラム |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7890565B2 (en) * | 2007-04-30 | 2011-02-15 | Lsi Corporation | Efficient hardware implementation of tweakable block cipher |
| EP2186250B1 (en) * | 2007-08-31 | 2019-03-27 | IP Reservoir, LLC | Method and apparatus for hardware-accelerated encryption/decryption |
| US20090319772A1 (en) * | 2008-04-25 | 2009-12-24 | Netapp, Inc. | In-line content based security for data at rest in a network storage system |
| FI20080534A0 (fi) * | 2008-09-22 | 2008-09-22 | Envault Corp Oy | Turvallinen ja valikoidusti kiistettävissä oleva tiedostovarasto |
-
2011
- 2011-02-22 US US13/579,863 patent/US20120314857A1/en not_active Abandoned
- 2011-02-22 JP JP2012501785A patent/JP5704159B2/ja not_active Expired - Fee Related
- 2011-02-22 WO PCT/JP2011/053832 patent/WO2011105367A1/ja not_active Ceased
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6243470B1 (en) * | 1998-02-04 | 2001-06-05 | International Business Machines Corporation | Method and apparatus for advanced symmetric key block cipher with variable length key and block |
| WO2008018303A1 (en) * | 2006-08-10 | 2008-02-14 | Nec Corporation | Adjusting function-equipped block encryption device, method, and program |
| WO2009128370A1 (ja) * | 2008-04-15 | 2009-10-22 | 日本電気株式会社 | 調整値付きブロック暗号装置、暗号生成方法および記録媒体 |
| US20090310778A1 (en) * | 2008-06-17 | 2009-12-17 | Clay Von Mueller | Variable-length cipher system and method |
| WO2010024004A1 (ja) * | 2008-08-29 | 2010-03-04 | 日本電気株式会社 | 調整値付きブロック暗号化装置、調整値付きブロック暗号化方法及び調整値付きブロック暗号化プログラム並びに調整値付きブロック復号装置、調整値付きブロック復号方法及び調整値付きブロック復号プログラム |
Non-Patent Citations (5)
| Title |
|---|
| JPN6011015111; Mohamed Abo El-Fotouch and Klaus Diepold: '"A New Narrow Block Mode of Operations for Disk Encryption"' ISIAS'08. Fourth International Conference , 200809, p.126-131, IEEE Computer Society * |
| JPN6011015115; Kazuhiko Minematsu: '"Beyond-Birthday-Bound Security Based on Tweakable Block Cipher"' 16th International Workshop, FSE 2009 , 200901, p.308-326, Springer * |
| JPN6011015116; Kazuhiko MINEMATSU and Toshiyasu MATSUSHIMA: '"Generalization and Extension of XEX* Mode"' IEICE TRANSACTIONS on Fundamentals of Electronics, Communications and Computer Sciences E92-A(2), 20090201, p.517-524, THE ENGINEERING SCIENCE SOCIETY * |
| JPN6014035890; Kazuhiko Minematsu: '"How to Thwart Birthday Attacks against MACs via Small Randomness"' Fast Software Encryption - FSE 2010, 17th International Workshop , 201002, p.230-249, [online] * |
| JPN6014035891; Kazuhiko Minematsu: '"Improved Security Analysis of XEX and LRW Modes"' LNCS, Selected Areas in Cryptography Vol.4356, 200608, pp.96-113 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US20120314857A1 (en) | 2012-12-13 |
| WO2011105367A1 (ja) | 2011-09-01 |
| JPWO2011105367A1 (ja) | 2013-06-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5704159B2 (ja) | ブロック暗号化装置、ブロック復号装置、ブロック暗号化方法、ブロック復号方法及びプログラム | |
| Gueron et al. | AES-GCM-SIV: Nonce misuse-resistant authenticated encryption | |
| KR101809386B1 (ko) | 인증 암호 장치, 인증 암호 방법 및 컴퓨터 판독가능한 기록 매체 | |
| Gueron et al. | AES-GCM-SIV: specification and analysis | |
| EP2691906B1 (en) | Method and system for protecting execution of cryptographic hash functions | |
| JP7031580B2 (ja) | 暗号化装置、暗号化方法、復号化装置、及び復号化方法 | |
| CN102611549B (zh) | 数据加密设备和存储卡 | |
| US20120170739A1 (en) | Method of diversification of a round function of an encryption algorithm | |
| US10148425B2 (en) | System and method for secure communications and data storage using multidimensional encryption | |
| WO2012132623A1 (ja) | 暗号処理装置、および暗号処理方法、並びにプログラム | |
| WO2013065241A1 (ja) | インクリメンタルmacタグ生成装置、方法及びプログラム並びにメッセージ認証装置 | |
| WO2014136386A1 (ja) | タグ生成装置、タグ生成方法およびタグ生成プログラム | |
| US8526602B2 (en) | Adjustment-value-attached block cipher apparatus, cipher generation method and recording medium | |
| JP5333450B2 (ja) | 調整値付きブロック暗号化装置、方法及びプログラム並びに復号装置、方法及びプログラム | |
| WO2016067524A1 (ja) | 認証付暗号化装置、認証付復号装置、認証付暗号システム、認証付暗号化方法、プログラム | |
| CN105656622A (zh) | 一种基于查表和扰动置乱相结合的白盒密码非线性编码保护方法 | |
| US11463235B2 (en) | Encryption device, encryption method, program, decryption device, and decryption method | |
| US8891761B2 (en) | Block encryption device, decryption device, encrypting method, decrypting method and program | |
| US7092524B1 (en) | Device for and method of cryptographically wrapping information | |
| JP5293612B2 (ja) | 暗号化装置、復号装置、暗号化方法、復号方法およびプログラム | |
| Padhi et al. | Modified version of XTS (XOR-Encrypt-XOR with Ciphertext Stealing) using tweakable enciphering scheme | |
| Gueron et al. | RFC 8452: AES-GCM-SIV: Nonce Misuse-Resistant Authenticated Encryption | |
| Lindell | Internet Research Task Force (IRTF) S. Gueron Request for Comments: 8452 University of Haifa and Amazon Category: Informational A. Langley | |
| WO2024180612A1 (ja) | 認証暗号化装置、認証復号装置、認証暗号システム、方法及びコンピュータ可読媒体 | |
| KR20030001888A (ko) | 키를 사용하지 않고 블록 정보만을 이용하는 암호알고리즘 설계 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140109 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140826 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141014 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150127 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150209 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5704159 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |