[go: up one dir, main page]

JP4561252B2 - 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム - Google Patents

暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム Download PDF

Info

Publication number
JP4561252B2
JP4561252B2 JP2004256465A JP2004256465A JP4561252B2 JP 4561252 B2 JP4561252 B2 JP 4561252B2 JP 2004256465 A JP2004256465 A JP 2004256465A JP 2004256465 A JP2004256465 A JP 2004256465A JP 4561252 B2 JP4561252 B2 JP 4561252B2
Authority
JP
Japan
Prior art keywords
matrix
cryptographic processing
unit
linear
linear transformation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004256465A
Other languages
English (en)
Other versions
JP2006072054A (ja
JP2006072054A5 (ja
Inventor
太三 白井
プレネール バート
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sony Corp
Original Assignee
Sony Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority to JP2004256465A priority Critical patent/JP4561252B2/ja
Application filed by Sony Corp filed Critical Sony Corp
Priority to EP10011885.0A priority patent/EP2375625B1/en
Priority to RU2006114754/12A priority patent/RU2383934C2/ru
Priority to CNB2005800012597A priority patent/CN100511331C/zh
Priority to BRPI0506365A priority patent/BRPI0506365B1/pt
Priority to ES10011884T priority patent/ES2860689T3/es
Priority to ES10011885T priority patent/ES2879845T3/es
Priority to PCT/JP2005/015815 priority patent/WO2006025416A1/ja
Priority to EP10011884.3A priority patent/EP2375624B1/en
Priority to ES05781289T priority patent/ES2391639T3/es
Priority to US10/577,955 priority patent/US7747011B2/en
Priority to EP05781289A priority patent/EP1788542B1/en
Publication of JP2006072054A publication Critical patent/JP2006072054A/ja
Priority to KR1020067006887A priority patent/KR101091749B1/ko
Priority to HK07101567.4A priority patent/HK1096758A1/xx
Publication of JP2006072054A5 publication Critical patent/JP2006072054A5/ja
Priority to US12/780,512 priority patent/US8275127B2/en
Application granted granted Critical
Publication of JP4561252B2 publication Critical patent/JP4561252B2/ja
Priority to US13/594,444 priority patent/US8767956B2/en
Priority to US14/278,632 priority patent/US9240885B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0625Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation with splitting of the data block into left and right halves, e.g. Feistel based algorithms, DES, FEAL, IDEA or KASUMI
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Storage Device Security (AREA)
  • Complex Calculations (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Error Detection And Correction (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Lock And Its Accessories (AREA)

Description

本発明は、暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラムに関する。さらに詳細には、暗号解析処理、攻撃処理として知られる線形解析、差分解析に対する耐性を向上させた暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラムに関する。
昨今、ネットワーク通信、電子商取引の発展に伴い、通信におけるセキュリティ確保が重要な問題となっている。セキュリティ確保の1つの方法が暗号技術であり、現在、様々な暗号化手法を用いた通信が実際に行なわれている。
例えばICカード等の小型の装置中に暗号処理モジュールを埋め込み、ICカードと、データ読み取り書き込み装置としてのリーダライタとの間でデータ送受信を行ない、認証処理、あるいは送受信データの暗号化、復号を行なうシステムが実用化されている。
暗号処理アルゴリズムには様々なものがあるが、大きく分類すると、暗号化鍵と復号鍵を異なる鍵、例えば公開鍵と秘密鍵として設定する公開鍵暗号方式と、暗号化鍵と復号鍵を共通の鍵として設定する共通鍵暗号方式とに分類される。
共通鍵暗号方式にも様々なアルゴリズムがあるが、その1つに共通鍵をベースとして複数の鍵を生成して、生成した複数の鍵を用いてブロック単位(64ビット,128ビットなど)のデータ変換処理を繰り返し実行する方式がある。このような鍵生成方式とデータ変換処理を適用したアルゴリズムの代表的なものが共通鍵ブロック暗号方式である。
代表的な共通鍵ブロック暗号のアルゴリズムとしては、例えば米国標準暗号としてのDES(Data Encryption Standard)アルゴリズムがあり、様々な分野において広く用いられている。
DESに代表される共通鍵ブロック暗号のアルゴリズムは、主として、入力データの変換を実行するラウンド関数部と、ラウンド関数(F関数)部の各ラウンドで適用する鍵を生成する鍵スケジュール部とに分けることができる。ラウンド関数部の各ラウンドで適用するラウンド鍵(副鍵)は、1つのマスター鍵(主鍵)に基づいて、鍵スケジュール部に入力されて生成され、各ラウンド関数部で適用される。
しかし、このような共通鍵暗号処理においては、暗号解析による鍵の漏洩が問題となっている。暗号解析または攻撃手法の代表的な手法として、ある差分を持つ入力データ(平文)とその出力データ(暗号文)を多数解析することにより各ラウンド関数における適用鍵を解析する差分解析(差分解読法または差分攻撃とも呼ばれる)や、平文と対応暗号文に基づく解析を行う線形解析(線形解読法または線形攻撃とも呼ばれる)が知られている。
暗号解析による鍵の解析が容易であるということは、その暗号処理の安全性が低いということになる。従来のDESアルゴリズムにおいては、ラウンド関数(F関数)部の線形変換部において適用する処理(変換行列)が、各段のラウンドにおいて等しいものであったため解析が行いやすく、結果として鍵の解析の容易性を招いているという問題がある。
本発明は、上記問題点に鑑みてなされたものであり、線形解析や差分解析に対する耐性の高い共通鍵ブロック暗号アルゴリズムを実現する暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラムを提供することを目的とする。
本発明の第1の側面は、
入力情報を非線形変換し、第1非線形変換情報を出力する第1非線形変換部と、当該第1非線形変換情報を線形変換して第1線形変換情報を出力する第1線形変換部とを有する第1暗号処理部と、
入力情報を非線形変換し、第2非線形変換情報を出力する第2非線形変換部と、当該第2非線形変換情報を線形変換して第2線形変換情報を出力する第2線形変換部とを有する第2暗号処理部と、
前記第2暗号処理部からの出力と、前記第1暗号処理部からの出力とが入力される排他的論理和部を備え、
前記第1非線形変換情報を第1列ベクトルで示すと共に前記第1線形変換情報を第2列ベクトルで示した場合に、当該第1列ベクトルを当該第2列ベクトルに変換する第1行列の逆行列から選択した第1行ベクトルと、
前記第2非線形変換情報を第3列ベクトルで示すと共に前記第2線形変換情報を第4列ベクトルで示した場合に、当該第3列ベクトルを当該第4列ベクトルに変換する第2行列の逆行列から選択した第2行ベクトルとが、
いずれの行ベクトルを選択した場合でも互いに線形独立であることを特徴とする暗号処理装置にある。
さらに、本発明の暗号処理装置の一実施態様において、前記暗号処理装置は、
前記排他的論理和部における排他的論理和結果を前記第1暗号処理部または前記第2暗号処理部に再度入力し、前記第1暗号処理部および前記第2暗号処理部における暗号処理を繰り返し実行する構成であることを特徴とする。
さらに、本発明の第2の側面は、
Feistel型共通鍵ブロック暗号処理を実行する暗号処理装置であり、
非線形変換部および線形変換部を有するSPN型のF関数を、複数ラウンド繰り返し実行する構成を有し、
前記複数ラウンド各々に対応するF関数の線形変換部は、m個の非線形変換部各々の出力するnビット、総計mnビットの入力に対する線形変換処理を、正方MDS(Maximum Distance Separable)行列を適用した線形変換処理として実行する構成であり、
少なくとも連続する偶数ラウンドおよび連続する奇数ラウンドの各々においては、異なる正方MDS行列:La,Lbが適用され、かつ該正方MDS行列の逆行列:La−1,Lb−1を構成するベクトルから任意に選択したm個のベクトルが線形独立であることを特徴とする暗号処理装置にある。
さらに、本発明の暗号処理装置の一実施態様において、さらに、前記逆行列:La−1,Lb−1を構成するベクトルから任意に選択したm個のベクトルによって構成する行列が正方MDS行列であることを特徴とする。
さらに、本発明の暗号処理装置の一実施態様において、前記Feistel型共通鍵ブロック暗号処理のアルゴリズムは、ラウンド数2rの暗号処理アルゴリズムであり、前記F関数の線形変換部は、r個の全ての偶数ラウンドおよびr個の全ての奇数ラウンドにおいて2≦qrのq種類の異なる正方MDS行列を順次繰り返し適用した線形変換処理を実行する構成であることを特徴とする。
さらに、本発明の暗号処理装置の一実施態様において、前記F関数の線形変換部において適用する異なる複数の正方MDS行列の各々は、該複数の正方MDS行列の逆行列を構成するベクトルから任意に選択したm個のベクトルが線形独立であることを特徴とする。
さらに、本発明の暗号処理装置の一実施態様において、前記F関数の線形変換部において適用する異なる複数の正方MDS行列の各々は、該複数の正方MDS行列の逆行列を構成するベクトルから任意に選択したm個のベクトルによって構成する行列も正方MDS行列となることを特徴とする。
さらに、本発明の暗号処理装置の一実施態様において、前記F関数の線形変換部において適用する異なる複数の行列の各々の逆行列は、該複数の正方MDS行列を構成する要素を全て含むMDS行列Mから選択されたベクトルによって構成される行列M'から抽出されたベクトルによって構成される行列によって構成されていることを特徴とする。
さらに、本発明の第3の側面は、
暗号処理装置において暗号処理を実行する暗号処理方法であり、
前記暗号処理装置の第1暗号処理部の第1非線形変換部において入力情報を非線形変換して第1非線形変換情報を出力し、第1暗号処理部の第1線形変換部において当該第1非線形変換情報を線形変換して第1線形変換情報を出力する第1暗号処理ステップと、
前記暗号処理装置の第2暗号処理部の第2非線形変換部において入力情報を非線形変換して第2非線形変換情報を出力し、第2暗号処理部の第2線形変換部において当該第2非線形変換情報を線形変換して第2線形変換情報を出力する第2暗号処理ステップと、
前記暗号処理装置の排他的論理和部が、前記第2暗号処理部からの出力と、前記第1暗号処理部からの出力とを入力して排他的論理和処理を実行する排他的論理和ステップとを有し、
前記第1暗号処理ステップの第1線形変換処理は、前記第1非線形変換情報を第1列ベクトルで示すと共に前記第1線形変換情報を第2列ベクトルで示した場合に、当該第1列ベクトルを当該第2列ベクトルに変換する第1行列を適用した第1線形変換処理実行ステップであり、
前記第2暗号処理ステップの第2線形変換処理は、前記第2非線形変換情報を第3列ベクトルで示すと共に前記第2線形変換情報を第4列ベクトルで示した場合に、当該第3列ベクトルを当該第4列ベクトルに変換する第2行列を適用した第2線形変換処理実行ステップであり、
前記第1線形変換処理実行ステップにおいて適用する前記第1行列の逆行列から選択した第1行ベクトルと、第2線形変換処理実行ステップにおいて適用する前記第2行列の逆行列から選択した第2行ベクトルとは互いに線形独立であることを特徴とする暗号処理方法にある。
さらに、本発明の暗号処理方法の一実施態様において、前記暗号処理方法は、前記排他的論理和ステップにおける排他的論理和結果を前記第1暗号処理部または前記第2暗号処理部に再度入力し、前記第1暗号処理ステップおよび前記第2暗号処理ステップの暗号処理を繰り返し実行することを特徴とする。
さらに、本発明の第4の側面は、
暗号処理装置において、Feistel型共通鍵ブロック暗号処理を実行する暗号処理方法であり、
前記暗号処理装置の非線形変換部および線形変換部において、非線形変換処理および線形変換処理を実行するSPN型のF関数を、複数ラウンド繰り返し実行し、
前記複数ラウンド各々に対応するF関数の線形変換処理は、m個の非線形変換部各々の出力するnビット、総計mnビットの入力に対する線形変換処理を、正方MDS(Maximum Distance Separable)行列を適用した線形変換処理として実行し、
少なくとも連続する偶数ラウンドおよび連続する奇数ラウンドの各々においては、異なる正方MDS行列:La,Lbが適用され、かつ該正方MDS行列の逆行列:La−1,Lb−1を構成する行ベクトルから任意に選択したm個の行ベクトルが線形独立であることを特徴とする暗号処理方法にある。
さらに、本発明の暗号処理方法の一実施態様において、さらに、前記逆行列:La−1,Lb−1を構成するベクトルから任意に選択したm個のベクトルによって構成する行列が正方MDS行列であることを特徴とする。
さらに、本発明の暗号処理方法の一実施態様において、前記Feistel型共通鍵ブロック暗号処理のアルゴリズムは、ラウンド数2rの暗号処理アルゴリズムであり、前記F関数の線形変換処理は、r個の全ての偶数ラウンドおよびr個の全ての奇数ラウンドにおいて2≦qrのq種類の異なる正方MDS行列を順次繰り返し適用した線形変換処理を実行することを特徴とする。
さらに、本発明の暗号処理方法の一実施態様において、前記F関数の線形変換処理において適用する異なる複数の正方MDS行列の各々は、該複数の正方MDS行列の逆行列を構成するベクトルから任意に選択したm個のベクトルによって構成する行列が線形独立であることを特徴とする。
さらに、本発明の暗号処理方法の一実施態様において、前記F関数の線形変換処理において適用する異なる複数の正方MDS行列の各々は、該複数の正方MDS行列の逆行列を構成するベクトルから任意に選択したm個のベクトルによって構成する行列も正方MDS行列となることを特徴とする。
さらに、本発明の暗号処理方法の一実施態様において、前記F関数の線形変換処理において適用する異なる複数の行列の各々の逆行列は、該複数の正方MDS行列を構成する要素を全て含むMDS行列Mから選択されたベクトルによって構成される行列M'から抽出されたベクトルによって構成される行列によって構成されていることを特徴とする。
さらに、本発明の第5の側面は、
暗号処理装置において暗号処理を実行させるコンピュータ・プログラムであり、
前記暗号処理装置の第1暗号処理部の第1非線形変換部に入力情報を非線形変換させて第1非線形変換情報を出力させ、第1暗号処理部の第1線形変換部に当該第1非線形変換情報を線形変換させて第1線形変換情報を出力させる第1暗号処理ステップと、
前記暗号処理装置の第2暗号処理部の第2非線形変換部に入力情報を非線形変換させて第2非線形変換情報を出力させ、第2暗号処理部の第2線形変換部に当該第2非線形変換情報を線形変換させて第2線形変換情報を出力させる第2暗号処理ステップと、
前記暗号処理装置の排他的論理和部に、前記第2暗号処理部からの出力と、前記第1暗号処理部からの出力とを入力して排他的論理和処理を実行させる排他的論理和ステップとを有し、
前記第1暗号処理ステップの第1線形変換処理は、前記第1非線形変換情報を第1列ベクトルで示すと共に前記第1線形変換情報を第2列ベクトルで示した場合に、当該第1列ベクトルを当該第2列ベクトルに変換する第1行列を適用した第1線形変換処理実行ステップであり、
前記第2暗号処理ステップの第2線形変換処理は、前記第2非線形変換情報を第3列ベクトルで示すと共に前記第2線形変換情報を第4列ベクトルで示した場合に、当該第3列ベクトルを当該第4列ベクトルに変換する第2行列を適用した第2線形変換処理実行ステップであり、
前記第1線形変換処理実行ステップにおいて適用する前記第1行列の逆行列から選択した第1行ベクトルと、第2線形変換処理実行ステップにおいて適用する前記第2行列の逆行列から選択した第2行ベクトルとは互いに線形独立であることを特徴とするコンピュータ・プログラムにある。
さらに、本発明の第6の側面は、
暗号処理装置において、Feistel型共通鍵ブロック暗号処理を実行させるコンピュータ・プログラムであり、
前記暗号処理装置の非線形変換部および線形変換部に、非線形変換処理および線形変換処理を実行するSPN型のF関数を、複数ラウンド繰り返し実行させるステップを有し、
前記複数ラウンド各々に対応するF関数の線形変換処理は、m個の非線形変換部各々の出力するnビット、総計mnビットの入力に対する線形変換処理を、正方MDS(Maximum Distance Separable)行列を適用した線形変換処理として実行する線形変換ステップであり、
前記線形変換ステップにおいて、少なくとも連続する偶数ラウンドおよび連続する奇数ラウンドの各々では、異なる正方MDS行列:La,Lbが適用され、かつ該正方MDS行列の逆行列:La−1,Lb−1を構成する行ベクトルから任意に選択したm個の行ベクトルが線形独立であることを特徴とするコンピュータ・プログラムにある。
さらに、本発明の第7の側面は、
暗号処理に使用する鍵を格納するメモリと、暗号処理プログラムを実行するプロセッサとを備える暗号処理装置であって、
前記プロセッサは、入力情報を非線形変換し、第1非線形変換情報を出力する第1非線形変換部と、当該第1非線形変換情報を線形変換して第1線形変換情報を出力する第1線形変換部とを有する第1暗号処理部と、入力情報を非線形変換し、第2非線形変換情報を出力する第2非線形変換部と、当該第2非線形変換情報を線形変換して第2線形変換情報を出力する第2線形変換部とを有する第2暗号処理部と、前記第2暗号処理部からの出力と、前記第1暗号処理部からの出力とが入力される排他的論理和部を備え、
前記第1非線形変換情報を第1列ベクトルで示すと共に前記第1線形変換情報を第2列ベクトルで示した場合に、当該第1列ベクトルを当該第2列ベクトルに変換する第1行列の逆行列から選択した第1行ベクトルと、前記第2非線形変換情報を第3列ベクトルで示すと共に前記第2線形変換情報を第4列ベクトルで示した場合に、当該第3列ベクトルを当該第4列ベクトルに変換する第2行列の逆行列から選択した第2行ベクトルとが、いずれの行ベクトルを選択した場合でも互いに線形独立である、
暗号処理装置にある。
さらに、本発明の暗号処理装置の一実施態様において、前記暗号処理装置は、前記排他的論理和部における排他的論理和結果を前記第1暗号処理部または前記第2暗号処理部に再度入力し、前記第1暗号処理部および前記第2暗号処理部における暗号処理を繰り返し実行する構成であることを特徴とする。
さらに、本発明の暗号処理装置の一実施態様において、前記暗号処理装置は、さらに外部機器とのデータ通信を行う送受信部を備えることを特徴とする。
なお、本発明のコンピュータ・プログラムは、例えば、様々なプログラム・コードを実行可能なコンピュータ・システムに対して、コンピュータ可読な形式で提供する記憶媒体、通信媒体、例えば、CDやFD、MOなどの記録媒体、あるいは、ネットワークなどの通信媒体によって提供可能なコンピュータ・プログラムである。このようなプログラムをコンピュータ可読な形式で提供することにより、コンピュータ・システム上でプログラムに応じた処理が実現される。
本発明のさらに他の目的、特徴や利点は、後述する本発明の実施例や添付する図面に基づくより詳細な説明によって明らかになるであろう。なお、本明細書においてシステムとは、複数の装置の論理的集合構成であり、各構成の装置が同一筐体内にあるものには限らない。
本発明の構成によれば、非線形変換部および線形変換部を有するSPN型のF関数を、複数ラウンド繰り返し実行するFeistel型共通鍵ブロック暗号処理において、複数ラウンド各々に対応するF関数の線形変換処理を、正方MDS(Maximum Distance Separable)行列を適用した線形変換処理として実行するとともに、少なくとも連続する偶数ラウンドおよび連続する奇数ラウンドの各々において異なる正方MDS行列:La,Lbを適用し、かつ該正方MDS行列の逆行列:La−1,Lb−1を構成する列ベクトルから任意に選択したm個の列ベクトルによって構成する行列が線形独立であるか、あるいは正方MDS行列を構成する性質とした正方MDS行列による線形変換処理を実行する構成としたので、共通鍵ブロック暗号における線形攻撃に対する耐性が向上し、暗号鍵等の解析困難性が高まることとなり、安全性の高い暗号処理が実現される。
さらに、本発明の構成によれば、非線形変換部および線形変換部を有するSPN型のF関数を、複数ラウンド繰り返し実行するFeistel型共通鍵ブロック暗号処理において、複数ラウンド各々に対応するF関数の線形変換処理を、正方MDS(Maximum Distance Separable)行列を適用した線形変換処理として実行するとともに、少なくとも連続する偶数ラウンドおよび連続する奇数ラウンドの各々において異なる正方MDS行列を適用する構成とし、これらの正方MDS行列自身が、線形独立性を示すか、または正方MDS行列を構成する構成としたので、アクティブSボックスの寄与による同時差分キャンセルの発生しないことが保証され、共通鍵ブロック暗号における差分攻撃に対する強度指標のひとつである暗号化関数全体でのアクティブSボックスの最少数を大きくすることが可能となる。本構成により、線形攻撃、差分攻撃の双方に対して耐性が向上し、より安全性の高い暗号処理が実現される。
以下、本発明の暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラムの詳細について説明する。なお、説明は、以下の項目順に行う。
1.共通鍵ブロック暗号アルゴリズムにおける差分解析処理
2.共通鍵ブロック暗号アルゴリズムにおける線形解析処理
3.本発明に基づく暗号処理アルゴリズム
(3−a)差分攻撃に対する耐性向上を実現した正方MDS行列の生成およびF関数への設定例
(3−b)線形攻撃に対する耐性向上を実現した正方MDS行列の生成およびF関数への設定例
(3−c)差分攻撃および線形攻撃に対する耐性向上を実現した正方MDS行列の生成およびF関数への設定例
[1.共通鍵ブロック暗号アルゴリズムにおける差分解析処理]
まず、DES(Data Encryption Standard)暗号処理に代表される共通鍵ブロック暗号アルゴリズムにおける差分解析処理の概要について、一般化した共通鍵ブロック暗号モデルを用いて説明する。
共通鍵ブロック暗号のアルゴリズムは、主として、入力データの変換を実行するラウンド関数部と、ラウンド関数部の各ラウンドで適用する鍵を生成する鍵スケジュール部とに分けることができる。ラウンド関数部の各ラウンドで適用する鍵(副鍵)は、1つのマスター鍵(主鍵)に基づいて、鍵スケジュール部に入力されて生成され、各ラウンド関数部で適用される。この共通鍵暗号方式の代表的な方式に米国連邦標準暗号方式としてのDES(Data Encryption Standard)がある。
Feistel構造と呼ばれる代表的な共通鍵ブロック暗号の構造について、図1を参照して説明する。
Feistel構造は、変換関数の単純な繰り返しにより、平文を暗号文に変換する構造を持つ。平文の長さを2mnビットとする。ただし、m,nは共に整数である。初めに、2mnビットの平文を、mnビットの2つの入力データP(Plain-Left)101,P(Plain-Right)102に分割し、これを入力値とする。
Feistel構造はラウンド関数とよばれる基本構造の繰り返しで表現され、各ラウンドに含まれるデータ変換関数はF関数120と呼ばれる。図1の構成では、F関数(ラウンド関数)120がr段繰り返された構成例を示している。
例えば第1番目のラウンドでは、mnビットの入力データXと、鍵生成部(図示せず)から入力されるmnビットのラウンド鍵K103がF関数120に入力され、F関数120におけるデータ変換処理の後にmnビットのデータYを出力する。出力はもう片方の前段からの入力データ(第1段の場合は入力データP)と排他的論理和部104において、排他的論理和演算がなされ、mnビットの演算結果が次のラウンド関数へと出力される。この処理、すなわちF関数を定められたラウンド数(r)だけ繰り返し適用して暗号化処理が完了し、暗号文の分割データC(Cipher-Left)、C(Cipher-Right)が出力される。以上の構成より、Feistel構造の復号処理はラウンド鍵を挿入する順序を逆にするだけでよく、逆関数を構成する必要がないことが導かれる。
各ラウンドの関数として設定されるF関数120の構成について、図2を参照して説明する。図2(a)は、1つのラウンドにおけるF関数120に対する入力および出力を示す図であり、図2(b)は、F関数120の構成の詳細を示す図である。F関数120は、図2(b)に示すように、非線形変換層と線形変換層を接続したいわゆるSPN型の構成を有する。
SPN型のF関数120は、図2(b)に示すように、非線形変換処理を実行する複数のSボックス(S−box)121を有する。ラウンド関数部の前段からのmnビットの入力値Xは、鍵スケジュール部から入力されるラウンド鍵Kと排他的論理和が実行され、その出力がnビットずつ非線形変換処理を実行する複数(m個)のSボックス121に入力される。各Sボックスでは、例えば変換テーブルを適用した非線形変換処理が実行される。
Sボックス121からの出力データであるmnビットの出力値Zは、線形変換処理を実行する線形変換部122に入力されて、例えばビット位置の入れ替え処理などの線形変換処理が実行され、mnビットの出力値Yを出力する。この出力値Yが前段からの入力データと排他的論理和され、次のラウンドのF関数の入力値とされる。
図2に示すF関数120は、入出力ビット長がm×n(m,n:整数)ビットであり、非線形変換層はnビットの入出力を持つ非線形変換層としてのSボックス121は、m個並列にならんだ構成を有し、線形変換層としての線形変換部122はn次の既約多項式で定義される2の拡大体GF(2)上の元を要素として持つm次の正方行列に基づく線形変換処理を実行する。
線形変換部122における線形変換処理に適用する正方行列の例を図3に示す。図3に示す正方行列125は、n=8,m=8の場合の例である。非線形変換部(Sボックス121)から出力されたm個のnビットデータZ[1],Z[2],...,Z[m]に対してあらかじめ定められた正方行列125を適用した演算により線形変換が施され、F関数(ラウンド関数)出力としての、Y[1],Y[2],...,Y[m]が決定される。ただし、このとき各データの行列の要素に対する線形演算はあらかじめ定められた2の拡大体GF(2)上で行われる。
これまでのFeistel型暗号では、すべての段のF関数に同じ線形変換層を用いているため、差分の伝播時に同時に複数の差分がキャンセルしてしまうという性質が存在した。背景技術の欄において説明したように、暗号解析手法の代表的な手法として、ある差分を持つ入力データ(平文)とその出力データ(暗号文)を多数解析することにより各ラウンド関数における適用鍵を解析する差分解析(あるいは差分解読法)が知られており、従来のDES暗号アルゴリズム等の共通鍵ブロック暗号においては、F関数120部の線形変換部122において適用する処理(変換行列)を、各段のラウンドにおいて等しいものに設定しているため、差分解析が行いやすく、結果として鍵の解析の容易性を招いている。
差分の伝播時に、同時に複数の差分がキャンセルする例について、図4を参照して説明する。なお、本明細書においては、差分を表す場合にはΔ(デルタ)記号をつけて表す。
図4はm=8,n=8の128bitブロック暗号における3段の同時差分キャンセルの様子を説明する図である。ただし、図中では64bitのデータをバイト単位で区切ってベクトルとして表現し、それぞれの要素を16進数で表記するものとする。
3段構成を持つF関数での同時差分キャンセルは、例えば以下のデータ状態1〜4の設定メカニズムに基づいて発生する。以下に説明するメカニズムの発生するデータ状態は、多数の差分入力データを設定することで発生させることができるデータ状態であり、いわゆる差分解析における鍵(ラウンド鍵)の解析において発生し得る。
(状態1)
iラウンドへの入力差分の左半分は、すべてゼロである入力差分(ΔXi−1=(00,00,00,00,00,00,00,00))であり、右半分の入力差分がただひとつのS−boxへの入力を除いてゼロである入力差分(ΔXi=(34,00,00,00,00,00,00,00))であるとする。このデータ状態は、多数の差分入力データを設定することで、iラウンドにおいて、このようなデータ状態を得ることができるということである。
なお、ΔXi=(34,00,00,00,00,00,00,00)の8つの各要素は、F関数中に構成されるm個(m=8)のSボックス各々に対する入力差分に対応する。差分(34)が第1Sボックス(図4中の(S1))に入力され、(00)が、第2〜8Sボックスに対する入力差分である。
なおゼロ(00)の入力差分を持つSボックスの出力差分はゼロ(00)であり、差分データに関する限り、ゼロ(00)の入力差分を持つSボックスは、何の作用も行なっていないものであり、アクティブでないすなわち非アクティブSボックスと呼ばれる。一方、非ゼロの入力差分(図4の例では差分:34)を持つSボックスは、非ゼロの入力差分に対応した非線形変換結果を出力差分として発生させるので、アクティブSボックス(Active S−box)と呼ばれる。
図4の例では、非ゼロの入力差分(34)を入力する1つのアクティブSボックス(S1)の出力差分(b7)を発生させており、その他の非アクティブSボックスS2〜S8はゼロの入力差分(00)に基づいて出力差分(00)を発生させ、線形変換部の差分入力としている。
(状態2)
iラウンドへの非ゼロの入力差分(図4の例では差分:34)を持つSボックス(以下、アクティブSボックス(Active S−box)と呼ぶ)からの出力差分は線形変換層で拡散されたのちF関数から出力(出力値=ΔYi)され、そのまま次のラウンドへの入力差分ΔXi+1となる。
図4の例における線形変換は、各ラウンドのF関数において共通する例えば図5に示すある特定の正方行列125による線形変換が実行されiラウンドのF関数出力差分としてのΔYi=(98,c4,b4,d3,ac,72,0f,32)を出力する。図5に示す線形変換構成から理解されるように、出力差分ΔYi=(98,c4,b4,d3,ac,72,0f,32)は、1つのアクティブSボックス(S1)からの出力要素Z[1]=b7にのみ依存した値として決定される。
このiラウンドのF関数出力差分としてのΔYi=(98,c4,b4,d3,ac,72,0f,32)は、図4に示す排他的論理和部131において、すべてゼロである入力差分(ΔXi−1=(00,00,00,00,00,00,00,00)と排他的論理和(XOR)演算が実行され、演算結果が、次のラウンド(i+1)への入力差分ΔXi+1となる。
iラウンドのF関数出力差分としてのΔYi=(98,c4,b4,d3,ac,72,0f,32)と、すべてゼロである入力差分ΔXi−1=(00,00,00,00,00,00,00,00)との排他的論理和(XOR)結果は、ΔYiであるので、次のラウンド(i+1)への入力差分ΔXi+1=ΔYi=(98,c4,b4,d3,ac,72,0f,32)となる。
(状態3)
i+1ラウンドのF関数からの出力差分ΔYi+1が、iラウンドでのActive S−boxの位置にのみ非ゼロ値をもつ。このデータ状態は、多数の差分入力データを設定することで、このようなデータ状態を得ることができるということである。
すなわち、ΔYi+1=(ad,00,00,00,00,00,00,00)であり、iラウンドと同様、非ゼロの差分値(図4の例では差分:34)を持つS−boxの位置(第1Sボックス(S1))にのみ非ゼロ値をもつ。なお、明らかにad≠00である。
(状態4)
i+2ラウンドのアクティブSボックス(Active S−box)(S1)の出力差分がiラウンドでのアクティブSボックス(Active S−box)(S1)の出力差分と一致した場合、すなわち、図4に示すようにi+2ラウンドのアクティブSボックス((S1)の出力差分がb7となり、iラウンドでのアクティブSボックス(S1)の出力差分(b7)と一致する。このデータ状態は、多数の差分入力データを設定することで、このようなデータ状態を得ることができるということである。
このデータ状態が発生すると、i+2ラウンドのF関数の出力差分ΔYi+2=(98,c4,b4,d3,ac,72,0f,32)が、2つ前のラウンドであるiラウンドのF関数の出力差分ΔYi=(98,c4,b4,d3,ac,72,0f,32)と一致することになる。
この結果、排他的論理和部133では、
ΔXi+1=ΔYi=(98,c4,b4,d3,ac,72,0f,32)と、
ΔYi+2=(98,c4,b4,d3,ac,72,0f,32)と、
の同一の値同士の排他的論理和演算が実行されることになり、排他的論理和演算結果としてオール0の値を出力する。
その結果、次の段(ラウンドi+3)への出力差分の前段(i+2ラウンド)からの左の入力差分ΔXi+3=(00,00,00,00,00,00,00,00)となる。
このラウンドi+3への左入力ΔXi+3=(00,00,00,00,00,00,00,00)は、ラウンドiへの左入力ΔXi−1=(00,00,00,00,00,00,00,00)と同様オールゼロであり、ラウンドi+3以降のラウンドにおいても、ラウンドi〜i+2と同様の処理が繰り返される可能性がある。
この結果、ラウンド数の伸びに対してアクティブSボックスの数が増大せず、差分攻撃に対する強度がそれほど伸びないという問題を発生させる。
共通鍵ブロック暗号において、差分攻撃に対する強度指標のひとつとして、暗号化関数全体でのアクティブSボックスの最少数が知られている。アクティブSボックス数の最少数が大きいほど差分攻撃に対する耐性が高いと判断される。
前述したように、差分解析(差分攻撃)においては、ある差分を持つ入力データ(平文)とその出力データ(暗号文)を多数設定してこの対応を解析することにより各ラウンド関数における適用鍵を解析する手法であり、この差分解析において、アクティブSボックスの数を少なくできれば、解析が容易となり、解析プロセス数を削減できる。
上述の図4を参照した例では、第1のSボックス(S1)のみがアクティブSボックスであるパターンの発生状態を提示したが、その他のSボックス(S2〜S8)についても、差分解析の入力データの設定によって、各SボックスのみをアクティブSボックスとした設定が可能であり、このような差分解析プロセスを実行することにより、各Sボックスの非線形変換処理の解析、さらにF関数に対して入力されるラウンド鍵の解析が可能となる。
このような差分解析に対する耐性を向上させるためには、アクティブSボックスの数が常に多い状態を維持すること、すなわち、アクティブSボックスの最少数が多いことが必要である。
図4を参照して説明した例において、右から左へ入力を行なうF関数、すなわち、第iラウンドと第i+2ラウンドのみをアクティブSボックス算出処理対象ラウンドとしてみた場合、アクティブSボックス数はわずか2であり、左から右へ入力を行なうF関数、すなわち、第i+1ラウンドではアクティブSボックス数が8であるものの、同時差分キャンセルにより第i+3ラウンドでのアクティブSボックス数が0となってしまうため、差分解析による各Sボックスの非線形変換処理の解析処理が容易となる。
図4に示す共通鍵ブロック暗号アルゴリズムは、各ラウンドにおける線形変換部において適用する線形変換行列が等しいものであり、この構成に起因して、特に右から左へ入力を行うF関数におけるわずか2つのアクティブSボックスにより同時差分キャンセルの発生可能性を引き起こしている。従って、ラウンド数の伸びに対してアクティブSボックスの最少数が十分に増大せず、差分攻撃に対する強度がそれほど伸びないという問題がある。
次に、同様に、同じ線形変換行列をすべての段(ラウンド)のF関数に用いる構成において、5ラウンドにまたがる同時差分キャンセルの発生メカニズムについて、図6を参照して説明する。
図6はm=8,n=8の128bitブロック暗号における5段の同時差分キャンセルの様子を説明する図である。ただし、図中では64bitのデータをバイト単位で区切ってベクトルとして表現し、それぞれの要素を16進数で表記するものとする。
5段構成を持つF関数での同時差分キャンセルは、例えば以下のデータ状態1〜7の設定メカニズムに基づいて発生する。以下に説明するメカニズムの発生するデータ状態は、多数の差分入力データを設定することで発生させることができるデータ状態であり、いわゆる差分解析における鍵(ラウンド鍵)の解析において発生し得る。
(状態1)
iラウンドへの入力差分の左半分は、すべてゼロである入力差分(ΔXi−1=(00,00,00,00,00,00,00,00))であり、右半分の入力差分がただひとつのS−boxへの入力を除いてゼロである入力差分(ΔXi=(34,00,00,00,00,00,00,00))であるとする。このデータ状態は、多数の差分入力データを設定することで、iラウンドにおいて、このようなデータ状態を得ることができるということである。
なお、ΔXi=(34,00,00,00,00,00,00,00)の8つの各要素は、F関数中に構成されるm個(m=8)のSボックス各々に対する入力差分に対応する。(34)が第1Sボックス(図6中の(S1))に入力され、(00)が、第2〜8Sボックスに対する入力差分である。
なお前述したように、ゼロ(00)の入力差分を持つSボックスの出力差分はゼロ(00)であり、差分データに関する限り、ゼロ(00)の入力差分を持つSボックスは、何の作用も行なっていないものであり、アクティブでないすなわち非アクティブSボックスと呼ばれる。一方、非ゼロの入力差分(図6の例では差分:34)を持つSボックス(S1)のみが、非ゼロの入力差分に対応した非線形変換結果を出力差分として発生させるので、アクティブSボックス(Active S−box)である。
図6の例では、非ゼロの入力差分(34)を入力する1つのアクティブSボックス(S1)の出力差分(b7)を発生させており、その他の非アクティブSボックスS2〜S8はゼロの入力差分(00)に基づいて出力差分(00)を発生させ、線形変換部の差分入力としている。
(状態2)
iラウンドへの非ゼロの入力差分(図4の例では差分:34)を持つSボックス(以下、アクティブSボックス(Active S−box)と呼ぶ)からの出力差分は線形変換層で拡散されたのちF関数から出力(出力値=ΔYi)され、そのまま次のラウンドへの入力差分ΔXi+1となる。
図6の例において、各ラウンドに共通の例えば図5に示すある特定の正方行列125による線形変換が実行されiラウンドのF関数出力差分としてのΔYi=(98,c4,b4,d3,ac,72,0f,32)を出力する。
iラウンドのF関数出力差分としてのΔYi=(98,c4,b4,d3,ac,72,0f,32)は、図6に示す排他的論理和部141において、すべてゼロである入力差分(ΔXi−1=(00,00,00,00,00,00,00,00)と排他的論理和(XOR)演算が実行され、演算結果が、次のラウンド(i+1)への入力差分ΔXi+1となる。
iラウンドのF関数出力差分としてのΔYi=(98,c4,b4,d3,ac,72,0f,32)と、すべてゼロである入力差分(ΔXi−1=(00,00,00,00,00,00,00,00)との排他的論理和(XOR)結果は、ΔYiであるので、次のラウンド(i+1)への入力差分ΔXi+1=ΔYi=(98,c4,b4,d3,ac,72,0f,32)となる。
(状態3)
i+1ラウンドのF関数からの出力差分ΔYi+1が、iラウンドでのActive S−boxの位置にのみ非ゼロ値をもつ。このデータ状態は、多数の差分入力データを設定することで、このようなデータ状態を得ることができるということである。
すなわち、ΔYi+1=(34,00,00,00,00,00,00,00)であり、iラウンドと同様、非ゼロの差分値(図6の例では差分:34)を持つS−boxの位置(第1Sボックス(S1))にのみ非ゼロ値をもつ。
(状態4)
i+2ラウンドのF関数に対する入力は、ΔXi=(34,00,00,00,00,00,00,00)と、ΔYi+1=(34,00,00,00,00,00,00,00)との排他的論理和部142における排他的論理和結果、すなわち、同一データ同士の排他的論理和であり、オールゼロの入力、ΔXi+2=(00,00,00,00,00,00,00,00)となり、その結果、i+2ラウンドのF関数からの出力差分も、オールゼロの出力差分、ΔYi+2=(00,00,00,00,00,00,00,00)となる。
(状態5)
i+3ラウンドのF関数に対する入力は、ΔXi+1=(98,c4,b4,d3,ac,72,0f,32)と、オールゼロのi+2ラウンドのF関数出力差分ΔYi+2=(00,00,00,00,00,00,00,00)との排他的論理和部143における排他的論理和結果であり、i+3ラウンドのF関数に対する入力ΔXi+3=ΔXi+1=(98,c4,b4,d3,ac,72,0f,32)となる。
(状態6)
i+3ラウンドのF関数出力差分が、ΔYi+3=(43,00,00,00,00,00,00,00)となり、オールゼロのΔXi+2=(00,00,00,00,00,00,00,00)との排他的論理和部144における排他的論理和の結果としてのΔXi+4=ΔYi+3=(43,00,00,00,00,00,00,00)がi+4ラウンドのF関数入力差分となる。
(状態7)
i+4ラウンドのアクティブSボックス(Active S−box)(S1)の出力差分がiラウンドでのアクティブSボックス(Active S−box)(S1)の出力差分と一致した場合、すなわち、図6に示すようにi+4ラウンドのアクティブSボックス((S1)の出力差分がb7となり、iラウンドでのアクティブSボックス(S1)の出力差分(b7)と一致する。このデータ状態は、多数の差分入力データを設定することで、このようなデータ状態を得ることができるということである。
このデータ状態が発生すると、i+4ラウンドのF関数の出力差分ΔYi+4=(98,c4,b4,d3,ac,72,0f,32)が、2つ前のラウンドであるi+2ラウンドの排他的論理和部143の出力差分ΔXi+3=(98,c4,b4,d3,ac,72,0f,32)と一致することになる。
この結果、排他的論理和部145では、
ΔXi+3=(98,c4,b4,d3,ac,72,0f,32)と、
ΔYi+4=(98,c4,b4,d3,ac,72,0f,32)と、
の同一の値同士の排他的論理和演算が実行されることになり、排他的論理和演算結果としてオール0の値を出力する。
その結果、次の段(ラウンドi+5)への入力差分は、ΔXi+5=(00,00,00,00,00,00,00,00)として設定される。
このラウンドi+5への左入力ΔXi+5=(00,00,00,00,00,00,00,00)は、ラウンドiへの左入力ΔXi−1=(00,00,00,00,00,00,00,00)と同様オールゼロであり、ラウンドi+5以降のラウンドにおいても、ラウンドi〜i+4と同様の処理が繰り返される可能性がある。
この結果、ラウンド数の伸びに対してアクティブSボックスの数が増大せず、差分攻撃に対する強度がそれほど伸びないという問題を発生させる。
前述したように、差分解析(差分攻撃)においては、ある差分を持つ入力データ(平文)とその出力データ(暗号文)を多数設定してこの対応を解析することにより各ラウンド関数における適用鍵を解析する手法であり、この差分解析において、アクティブSボックスの数を少なくできれば、解析が容易となり、解析プロセス数を削減できる。
上述の図6を参照した例において、右から左へ入力を行なうF関数、すなわち、第iラウンドと第i+2ラウンド、第i+4ラウンドのみをアクティブSボックス算出処理対象ラウンドとしてみた場合、アクティブSボックス数は、第iラウンド=1、第i+2ラウンド=0、第i+4ラウンド=1の合計わずか2であり、左から右へ入力を行なうF関数、すなわち第i+1ラウンドおよび第i+3ラウンドではアクティブSボックス数が8であるものの、同時差分キャンセルにより第i+5ラウンドでのアクティブSボックス数が0となってしまうため、差分解析による各Sボックスの非線形変換処理の解析、および、F関数に対する入力ラウンド鍵の解析処理が比較的、容易となる。
図6を参照した例では、第1のSボックス(S1)のみがアクティブSボックスであるパターンの発生状態を提示したが、その他のSボックス(S2〜S8)についても、差分解析の入力データの設定によって、各SボックスのみをアクティブSボックスとした設定が可能であり、このような差分解析プロセスを実行することにより、各Sボックスの非線形変換処理の解析、さらにF関数に対して入力されるラウンド鍵の解析が可能となる。
図4および図6を参照して、3および5ラウンドの場合の同時差分キャンセルの発生例を説明したが、任意のラウンド数に一般化して同時差分キャンセルを定義すると以下のように定義することができる。図7を参照して、任意のラウンド数における同時差分キャンセルの定義について説明する。なお、図7は、フェイステル(Feistel)構造の共通鍵ブロック暗号を実行するフェイステル(Feistel)構造の1つおきのラウンド(i,i+2,i+4,・・・,i+2j)を示している。
「定義」
フェイステル(Feistel)構造のラウンドiでの入力差分の半分(PLまたはPR)が0(図7において、ΔXi=(00,00,00,00,00,00,00,00))であり、そこにi+2jラウンド(j=0,1,2,...)のF関数の出力差分が排他的論理和部で演算されていく過程において、あるラウンドi+2kにおいて、排他的論理和の結果が0(図7において、ΔXi+2j+1=(00,00,00,00,00,00,00,00))になった場合を"同時差分キャンセル"と呼ぶ。
その時、i,i+2,i+4,..,i+2kラウンドのF関数の中に存在するアクティブSボックス(Active S−box)のことを"同時差分キャンセルを発生させたアクティブSボックス"と呼ぶものとし、ベクトルAの非ゼロの要素数をハミングウェイトhw(A)と定義すると、同時差分キャンセルを発生させるアクティブSボックスの数aは、以下の式として表せる。
Figure 0004561252
前述の3ラウンド、5ラウンドでの例ではともに同時差分キャンセルを発生させたアクティブSボックス数は2、すなわちa=2である。
前述したように、共通鍵ブロック暗号における差分攻撃に対する強度指標のひとつが暗号化関数全体でのアクティブSボックスの最少数であり、アクティブSボックス数の最少数が大きいほど差分攻撃に対する耐性が高いと判断される。
しかし、DESアルゴリズムのように同じ線形変換行列をすべての段のF関数に用いる構成では、図4、図6を参照して説明したように、わずか2つのアクティブSボックスにより同時差分キャンセルが発生してしまう可能性があった。そのような性質があるためラウンド数の伸びに対してアクティブSボックスの最少数が十分に増大せず、差分攻撃に対する強度がそれほど伸びないという問題があった。
[2.共通鍵ブロック暗号アルゴリズムにおける線形解析処理]
差分解析処理は、上述したように、解析の実行者が一定の差分を持つ入力データ(平文)を容易し、その対応する出力データ(暗号文)を解析することが必要となる。線形解析処理は、一定の差分を持つ入力データ(平文)を準備する必要はなく、所定量以上の入力データ(平文)と対応する出力データ(暗号文)とに基づいて解析を行う。
前述したように、共通鍵ブロック暗号アルゴリズムでは非線形変換部としてのSボックスを有し、入力データ(平文)と対応する出力データ(暗号文)との線形関係はないが、線形解析では、このSボックスの入出力を線形近似し、多数の入力データ(平文)と対応する出力データ(暗号文)の構成ビット値の線形関係を解析し、候補となる鍵を絞り込むことによって解析を行う。線形解析においては、特定の差分を持つ入力データを準備することが必要ではなく、多数の平文と対応暗号文を容易することで、解析が可能となる。
[3.本発明に基づく暗号処理アルゴリズム]
以下、本発明の暗号処理アルゴリズムについて説明する。本発明の暗号処理アルゴリズムは、上述した線形解析、差分解析等の攻撃に対する耐性を向上させた構成、すなわち、鍵解析の困難性を高め、安全性を向上させた構成を持つ。
本発明に係る暗号処理アルゴリズムの1つの特徴は、従来のDESアルゴリズムの如く各ラウンドのF関数に構成される線形変換部に共通の処理(変換行列)を適用した構成とせず、複数の異なる正方MDS(Maximum Distance Separable)行列を設定した構成としたことである。具体的には、少なくとも連続する偶数ラウンドおよび連続する奇数ラウンドの各々において異なる正方MDS行列を適用した線形変換処理を実行する構成を持つ。
本発明に係る暗号処理アルゴリズムは、正方MDS(Maximum Distance Separable)行列の性質を利用し、少ないアクティブSボックスに基づく同時差分キャンセルが起こらない、または起こりにくい構造を実現し、アクティブSボックスの最小数を増大させ、差分攻撃に対してより強い共通鍵ブロック暗号処理を実現する。あるいは、既知平文攻撃として行なわれる線形解析についての困難性も高めた構成を持つ。
本発明の暗号処理アルゴリズムは、図1、2を参照して説明したSPN型のF関数を有するFeistel構造と呼ばれる代表的な共通鍵ブロック暗号の構造、すなわち、非線形変換部および線形変換部を有するSPN型のF関数の複数ラウンドに渡る単純な繰り返しにより、平文を暗号文に変換する、あるいは暗号文を平文変換する構造を適用している。
例えば、平文の長さを2mnビット(ただし、m,nは共に整数)として、2mnビットの平文を、mnビットの2つのデータPL(Plain-Left),PR(Plain-Right)に分割し、これを入力値として、各ラウンドにおいて、F関数を実行させるものであり、F関数は、図2を参照して説明したように、Sボックスからなる非線形変換部と、線形変換部を接続したSPN型を持つF関数である。
本発明の構成においては、F関数中の線形変換部において適用する線形変換処理のための行列として、複数の異なる正方MDS(Maximum Distance Separable)行列から選択された行列を各ラウンドのF関数の線形変換部において適用する行列として設定する。具体的には、少なくとも連続する偶数ラウンドおよび連続する奇数ラウンドの各々において異なる正方MDS行列を適用する。
正方MDS行列について説明する。正方MDS行列とは以下の(a),(b)の性質を満たす行列をいう。
(a)正方行列である
(b)行列に含まれるすべての部分行列(submatrix)の行列式(determinant)が0でない、すなわち、det(submatrix)≠0
上記(a),(b)の条件を満足する行列を正方MDS行列と呼ぶ。
共通鍵ブロック暗号の各ラウンドで実行するF関数に対する入出力ビット長がm×n(m,n:整数)ビットであり、F関数内に構成される非線形変換部がnビットの入出力を持つm個のSボックスにより構成され、線形変換部がn次の既約多項式で定義される2の拡大体GF(2)上の元を要素として持つm次の正方行列に基づく線形変換処理を実行する場合の、正方MDS行列の一例を図8に示す。図8に示す正方MDS行列の例は、n=8,m=8の正方MDS行列の例である。
上記(a),(b)を満足する正方MDS行列は、ベクトルAの非ゼロの要素数をハミングウェイトhw(A)とし、Mをm次の正方MDS行列とし、xを正方MDS行列Mへの入力ベクトルとした場合、以下の不等式(式1)を満たすことになる。
hw(x)+hw(Mx)≧m+1‥‥‥‥‥‥(式1)
上記式(式1)は、正方MDS行列(M)によって線形変換される入力データxの非ゼロの要素数hw(x)と、正方MDS行列(M)によって線形変換された出力データMxの非ゼロの要素数hw(Mx)の総数が、正方MDS行列の次数mより大となるということを意味している。
なお、正方MDS行列という名は正方MDS−code(Maximum Distance Separable Code)の生成行列の標準形の右半分が上記条件を満足していることから名づけているものである。
1つの行列をすべてのF関数に組み込むという従来の構成でも線形変換行列に正方MDS行列を用いることで、正方MDS行列でない行列を用いる場合に比べてアクティブSボックス数の最少数を比較的高水準に保持することができるということは知られている。
本発明では、各ラウンドのF関数には正方MDS行列の条件を満たす行列を利用し、さらにラウンドごとに異なる行列を設定する方法を提案する。具体的には、少なくとも連続する偶数ラウンドおよび連続する奇数ラウンドの各々において異なる正方MDS行列を適用する。
以下に、段数(ラウンド数)が2r(rは整数)のFeistel型共通鍵ブロック暗号において、差分攻撃に対する耐性をより高めた複数の構成例について説明する。
なお、以下の説明において、段数(ラウンド数)が2rのFeistel型共通鍵ブロック暗号処理構成のj段目のF関数における線形変換部で適用する線形変換行列をMLTjとして表すものとする。
本発明の構成では、段数(ラウンド数)が2rのFeistel型共通鍵ブロック暗号処理構成における各段のF関数中の線形変換部において適用する線形変換処理のための行列として、複数の異なる正方MDS(Maximum Distance Separable)行列から選択された行列を各ラウンドのF関数の線形変換部において適用する行列として設定する。具体的には、少なくとも連続する偶数ラウンドおよび連続する奇数ラウンドの各々において異なる正方MDS行列を適用する。
具体的には、段数(ラウンド数)が2rのFeistel型共通鍵ブロック暗号処理構成に対応して、r以下のq個の正方MDS行列:L1,L2,・・,Lqを生成し、段数(ラウンド数)が2rのFeistel型共通鍵ブロック暗号処理構成における奇数段目のF関数中の線形変換部において適用する線形変換処理のための行列として、上位段のF関数から順にL1,L2,・・,Lq,L1,L2・・として、q個の正方MDS行列を繰り返し設定する。さらに、偶数段のF関数については、下位段のF関数から順に、L1,L2,・・,Lq,L1,L2・・として、q個の正方MDS行列を繰り返し設定する。
本設定を適用した構成例を図9に示す。図9は、段数(ラウンド数)が2r=12、すなわちr=6のFeistel型共通鍵ブロック暗号処理構成とした場合、q=3、すなわち、12段のラウンド数を持つFeistel型共通鍵ブロック暗号処理構成において3種類の異なる正方MDS行列を配置した構成例として、各ラウンドのF関数部の線形変換部に設定する正方MDS行列(L1,L2,L3)を示している。
図9の構成は、2mnビットの平文を、mnビットの2つのデータPL(Plain-Left),PR(Plain-Right)に分割し、これを入力値として、各ラウンドにおいて、F関数を実行させる構成であり、第1ラウンドのF関数401およびその他のラウンドのF関数も、すべて図2を参照して説明したように、Sボックスからなる非線形変換部と、線形変換部を接続したSPN型を持つF関数である。
図9の設定例はr=6,q=3であり、各F関数内に示す記号Lnは正方MDS行列402を示している。すなわち、L1,L2,L3は、それぞれ異なる3種類の正方MDS行列を示し、各F関数の線形変部において線形変換処理に適用する正方MDS行列を示している。
線形変換行列MLTjの設定処理シーケンスについて、図10を参照して説明する。
[ステップS21]
ラウンド数2rの半数rに対してr以下の数q、すなわち、
q≦rとなる数qを選択する。ただし、qは2以上の整数である。
[ステップS22]
q個のGF(2)上のm次正方MDS行列L1,L2,...,Lqを生成する。q個のGF(2)上のm次正方MDS行列L1,L2,...,Lqの生成処理手法についての詳細は、後段で説明する。
ステップS22において、q個のGF(2)上のm次正方MDS行列L1,L2,...,Lqが生成した後、次に、以下の正方MDS行列設定処理を実行する。
[ステップS23]
2i−1(1≦i≦r)段目の線形変換行列MLT2i−1にL(i−1)modq)+1を設定する。
[ステップS24]
2i(1≦i≦r)段目の線形変換行列にMLT2にMLT2r−2i+1を設定する。
例えば、図9に示す構成例、すなわち、12段(r=6)でありq=3とした場合は、
MLT1=L1, MLT2=L3
MLT3=L2, MLT4=L2
MLT5=L3, MLT6=L1
MLT7=L1, MLT8=L3
MLT9=L2, MLT10=L2
MLT11=L3, MLT12=L1
の設定となる。
このように、本発明の暗号処理装置においては、段数(ラウンド数)が2rのFeistel型共通鍵ブロック暗号処理構成に対応して、r以下のq個の正方MDS行列:L1,L2,・・,Lqを生成し、奇数段目については上位段のF関数から順にL1,L2,・・,Lq,L1,L2・・として、q個の正方MDS行列を繰り返し設定し、偶数段のF関数については、下位段のF関数から順に、L1,L2,・・,Lq,L1,L2・・として、q個の正方MDS行列を繰り返し設定する構成としている。
次に、図10の処理フローにおけるステップS22のq個のGF(2)上のm次正方MDS行列L1,L2,...,Lqの生成処理およびF関数への設定構成の詳細について説明する。なお、説明は以下の項目に沿って行なう。
(3−a)差分攻撃に対する耐性向上を実現した正方MDS行列の生成およびF関数への設定例
(3−b)線形攻撃に対する耐性向上を実現した正方MDS行列の生成およびF関数への設定例
(3−c)差分攻撃および線形攻撃に対する耐性向上を実現した正方MDS行列の生成およびF関数への設定例
[(3−a)差分攻撃に対する耐性向上を実現した正方MDS行列の生成およびF関数への設定例]
まず、差分攻撃に対する耐性向上を実現した正方MDS行列の生成およびF関数への設定例として、3つの処理例a1,a2,a3について説明する。
(処理例a1)
差分攻撃に対する耐性向上を実現した正方MDS行列の生成およびF関数への設定例の第1の例について説明する。まず、図11に示すフローチャートを参照して正方MDS行列の生成処理について説明する。
[ステップS101]
入力:必要な正方MDSの個数q,拡大次数:n,行列のサイズ:mとして、
GF(2)上で、q個のm次正方MDS行列L1,L2,...,Lqをランダムに生成する。なお、図11に示すフローでは、MDSの個数q=6,拡大次数:n=8,行列のサイズ:m=8の場合の処理例として示してある。
[ステップS102]
q個のm次正方MDS行列L1,L2,...,Lqに含まれるqm個の列の任意のm個を取り出したときに、線形独立になっているかどうかをチェックする。チェックに通過したらステップS103に進む、そうでない場合はステップS101にもどる。
[ステップS103]
q個のm次正方MDS行列L1,L2,...,Lqを、ラウンド数2rのFeistel型共通鍵ブロック暗号に適用する正方MDS行列として出力する。
以上のプロセスによって、q個のm次正方MDS行列L1,L2,...,Lqが生成される。なお、q≦rである。
このようにして生成したq個のm次正方MDS行列L1,L2,...,Lqを、先に、図10を参照して説明した、[ステップS23]、[ステップS24]の処理に従って、段数(ラウンド数)が2rのFeistel型共通鍵ブロック暗号処理構成の各段のF関数部の線形変換部の線形変換処理に適用する行列として設定する。すなわち、奇数段目については上位段から順にL1,L2,・・,Lq,L1,L2・・としてq個の正方MDS行列を繰り返し設定し、偶数段のF関数については、下位段のF関数から順に、L1,L2,・・,Lq,L1,L2・・として、q個の正方MDS行列を繰り返し設定する。
このように、偶数ラウンドの正方MDS行列と奇数ラウンドの正方MDS行列を互いに逆順に配置することによって、暗号化処理と復号処理は鍵の順序を入れ替える処理を除き同一であることが保証される。
本構成により、
(a)各F関数の線形変換行列は正方MDSであること、
(b)暗号化関数内の奇数ラウンド内の少なくとも連続するq個のF関数に含まれる線形変換行列の任意のm個の列ベクトルが独立であること、
(c)偶数ラウンド内の少なくとも連続するq個のF関数に含まれる線形変換行列の任意のm個の列ベクトルが独立であること、
これら(a)〜(c)が保証されるため、複数段のラウンド数を持つFeistel型共通鍵ブロック暗号処理構成において、連続する2q−1ラウンドにおいて、m個以下のアクティブSボックスの寄与による同時差分キャンセルは発生しないことが保証される。よって暗号化関数全体のアクティブSボックス数の最小値が増大する。
このように、本処理例によって、共通鍵ブロック暗号における差分攻撃に対する強度指標のひとつである暗号化関数全体でのアクティブSボックスの最少数を大きくすることが可能となり、結果として、差分解析(差分攻撃)を行なった場合のアクティブSボックスの数が増大し、解析の困難性が高まることになる。従って鍵の解析の困難な安全性の高い暗号処理が実現される。
(処理例a2)
差分攻撃に対する耐性向上を実現した正方MDS行列の生成およびF関数への設定例の第2の例について説明する。図12のフローチャートを参照して正方MDS行列の生成処理について説明する。
[ステップS201]
入力:必要なMDSの個数q,拡大次数:n,行列のサイズ:mとして、
GF(2)上で、q個のm次正方MDS行列L1,L2,...,Lqをランダムに生成する。なお、図12に示すフローでは、MDSの個数q=6,拡大次数:n=8,行列のサイズ:m=8の場合の処理例として示してある。
[ステップS202]
q個のm次正方MDS行列L1,L2,...,Lqに含まれるqm個の列の任意のm個を取り出したときに、正方MDS行列になっているかどうかをチェックする。チェックに通過したらステップS203に進む、そうでない場合はステップS201にもどる。
なお、正方MDS行列とは、前述したように以下の性質を満たす行列をいう。
(a)正方行列である
(b)行列に含まれるすべての部分行列(submatrix)の行列式(determinant)が0でない、すなわち、det(submatrix)≠0
[ステップS203]
q個のm次正方MDS行列L1,L2,...,Lqを、ラウンド数2rのFeistel型共通鍵ブロック暗号に適用する正方MDS行列として出力する。
以上のプロセスによって、q個のm次正方MDS行列L1,L2,...,Lqが生成される。なお、q≦rである。
前述の処理例a1における正方MDS行列生成処理においては、図11の処理シーケンスにおいて説明したように、ステップS102において、q個のm次正方MDS行列L1,L2,...,Lqに含まれるqm個の列の任意のm個を取り出したときの線形独立性を判定したが、この処理例a2における正方MDS行列生成処理においては、q個のm次正方MDS行列L1,L2,...,Lqに含まれるqm個の列の任意のm個を取り出したとき正方MDS行列になっているかどうかをチェックする。すなわち、より厳しいチェックが実行されることになる。
この図12に示す処理シーケンスに従った正方MDS行列生成処理によって生成されたq個のm次正方MDS行列L1,L2,...,Lqが、先に説明した処理例a1と同様、先に、図10を参照して説明した、[ステップS23]、[ステップS24]の処理に従って、段数(ラウンド数)が2rのFeistel型共通鍵ブロック暗号処理構成の各段のF関数部の線形変換部の線形変換処理に適用する行列として設定される。すなわち、奇数段目については上位段から順にL1,L2,・・,Lq,L1,L2・・としてq個の正方MDS行列を繰り返し設定し、偶数段のF関数については、下位段のF関数から順に、L1,L2,・・,Lq,L1,L2・・として、q個の正方MDS行列を繰り返し設定する。
このように、偶数ラウンドの正方MDS行列と奇数ラウンドの正方MDS行列を互いに逆順に配置することによって、暗号化処理と復号処理は鍵の順序を入れ替える処理を除き同一であることが保証される。
本構成により、
(a)各F関数の線形変換行列は正方MDSであること、
(b)暗号化関数内の奇数ラウンド内の少なくとも連続するq個のF関数に含まれる線形変換行列の任意のm個の列ベクトルが正方MDS行列であること、
(c)偶数ラウンド内の少なくとも連続するq個のF関数に含まれる線形変換行列の任意のm個の列ベクトルが正方MDS行列であること、
これら(a)〜(c)が保証されるため、複数段のラウンド数を持つFeistel型共通鍵ブロック暗号処理構成において、連続する2q−1ラウンドにおいて、m個以下のアクティブSボックスの寄与による同時差分キャンセルは発生しないことが保証される。
さらに、
(d)正方MDSの性質から、a個(a≦m)のアクティブSボックスの寄与によって得られる差分値における非ゼロの要素数はm+1−a個以上になることが保証される。よって暗号化関数全体のアクティブSボックス数の最小値が増大する。
このように、本処理例によって、共通鍵ブロック暗号における差分攻撃に対する強度指標のひとつである暗号化関数全体でのアクティブSボックスの最少数を大きくすることが可能となり、結果として、差分解析(差分攻撃)を行なった場合のアクティブSボックスの数が増大し、解析の困難性が高まることになる。従って鍵の解析の困難な安全性の高い暗号処理が実現される。
(処理例a3)
差分攻撃に対する耐性向上を実現した正方MDS行列の生成およびF関数への設定例の第3の例について説明する。図13のフローチャートを参照して正方MDS行列の生成処理について説明する。
[ステップS301]
入力:必要なMDSの個数q,拡大次数:n,行列のサイズ:mとして、
GF(2)上で、1個のqm次正方MDS行列Mを生成する。なお、図13に示すフローでは、MDSの個数q=6,拡大次数:n=8,行列のサイズ:m=8の場合の処理例として示してある。
[ステップS302]
1個のqm次正方MDS行列Mからm本の行を任意に選択抽出し、m行,qm列の行列M'を構成する。
[ステップS303]
m行,qm列の行列M'に含まれるqm本の列ベクトルを重複することなくm本の列ベクトルからなるq個のグループに任意に分割し、それぞれのグループに含まれる列ベクトルからm次の正方行列L1,L2,...,Lqを、ラウンド数2rのFeistel型共通鍵ブロック暗号に適用する正方MDS行列として出力する。
以上のプロセスによって、q個のm次正方MDS行列L1,L2,...,Lqが生成される。なお、q≦rである。
処理例a3における正方MDS行列生成手法3について、図14を参照して、より具体的に説明する。
[ステップS301]
GF(2)上で、1個のqm次正方MDS行列Mを生成する。図14に示すように、qm×qmの正方MDS行列Mを生成する。なお、このステップS301において生成する行列Mの次数はqm次より大きいものでもよい。
[ステップS302]
図14に示すように、qm次正方MDS行列Mからm本の行を任意に選択抽出し、m行,qm列の行列M'を構成する。なお、図に示す例では、連続するm本の行を選択抽出した例として示してあるが、m次正方MDS行列Mを構成する任意の離間した行をm本選択抽出して、m行,qm列の行列M'を構成してもよい。
[ステップS303]
m行,qm列の行列M'に含まれるqm本の列ベクトルを重複することなくm本の列ベクトルからなるx個のグループに任意に分割し、それぞれのグループに含まれる列ベクトルからm次の正方行列L1,L2,...,Lxを生成する。
図13、図14を参照して説明した処理シーケンスに従った正方MDS行列生成処理によって生成されたq個のm次正方MDS行列L1,L2,...,Lqが、先に説明した処理例a1、a2と同様、先に、図10を参照して説明した、[ステップS23]、[ステップS24]の処理に従って、段数(ラウンド数)が2rのFeistel型共通鍵ブロック暗号処理構成の各段のF関数部の線形変換部の線形変換処理に適用する行列として設定される。すなわち、奇数段目については上位段から順にL1,L2,・・,Lq,L1,L2・・としてq個の正方MDS行列を繰り返し設定し、偶数段のF関数については、下位段のF関数から順に、L1,L2,・・,Lq,L1,L2・・として、q個の正方MDS行列を繰り返し設定する。
このように、偶数ラウンドの正方MDS行列と奇数ラウンドの正方MDS行列を互いに逆順に配置することによって、暗号化処理と復号処理は鍵の順序を入れ替える処理を除き同一であることが保証される。
本構成により、
(a)各F関数の線形変換行列は正方MDSであること、
(b)暗号化関数内の奇数ラウンド内の少なくとも連続するq個のF関数に含まれる線形変換行列の任意のm個の列ベクトルが独立であること、
(c)偶数ラウンド内の少なくとも連続するq個のF関数に含まれる線形変換行列の任意のm個の列ベクトルが独立であること、
これら(a)〜(c)が保証されるため、複数段のラウンド数を持つFeistel型共通鍵ブロック暗号処理構成において、連続する2q−1ラウンドにおいて、m個以下のアクティブSボックスの寄与による同時差分キャンセルは発生しないことが保証される。
さらに、
(d)正方MDSの性質から、a個(a≦m)のアクティブSボックスの寄与によって得られる差分値における非ゼロの要素数はm+1−a個以上になることが保証される。よって暗号化関数全体のアクティブSボックス数の最小値が増大する。
なお、処理例a3が特に効果を発揮するのは、m,r,が大きくなり、前述した処理例a1,a2の行列決定処理方式にかかる時間的コストが莫大となり、現実的な時間内に行列を決定することが困難である場合である。そのような場合でも本処理例a3の正方MDS行列生成手法ならば比較的短時間での行列生成処理が可能となる。
これは、処理例a3においては、大きなm,rに対しても現実的な時間で十分に処理可能な方式、例えばリードソロモン(Reed−Solomon)符号の生成行列の生成法を適用することが可能となるからである。
この処理例a3においても、上述したように、共通鍵ブロック暗号における差分攻撃に対する強度指標のひとつである暗号化関数全体でのアクティブSボックスの最少数を大きくすることが可能となり、結果として、差分解析(差分攻撃)を行なった場合のアクティブSボックスの数が増大し、解析の困難性が高まることになる。従って鍵の解析の困難な安全性の高い暗号処理が実現される。
[(3−b)線形攻撃に対する耐性向上を実現した正方MDS行列の生成およびF関数への設定例]
次に、線形攻撃に対する耐性向上を実現した正方MDS行列の生成およびF関数への設定例として、2つの処理例b1,b2について説明する。
(処理例b1)
線形攻撃に対する耐性向上を実現した正方MDS行列の生成およびF関数への設定例の第1の例について、説明する。図15に示すフローチャートを参照して正方MDS行列の生成処理について説明する。
[ステップS401]
入力:必要な正方MDSの個数q,拡大次数:n,行列のサイズ:mとして、
GF(2)上で、q個のm次正方MDS行列M1,M2,...,Mqをランダムに生成する。なお、図14に示すフローでは、正方MDSの個数q=6,拡大次数:n=8,行列のサイズ:m=8の場合の処理例として示してある。
[ステップS402]
q個のm次正方MDS行列M1,M2,...,Mqの逆行列M1−1,M2−1,...,Mq−1を算出し、隣り合う2つの逆行列に含まれる2mの行ベクトルから任意のm本の行ベクトルを取り出したときに、線形独立になっているかどうかをチェックする。図15中、Rは、行ベクトルの転置ベクトルを示すものである。チェックに通過したらステップS403に進む、そうでない場合はステップS401にもどる。ただし、M1−1とMq−1は、隣り合う行列とする。
[ステップS403]
q個のm次正方MDS行列L1,L2,...,Lqを、ラウンド数2rのFeistel型共通鍵ブロック暗号に適用する正方MDS行列として出力する。
以上のプロセスによって、q個のm次正方MDS行列L1,L2,...,Lqが生成される。なお、q≦rである。
このようにして生成したq個のm次正方MDS行列L1,L2,...,Lqを、先に、図10を参照して説明した、[ステップS23]、[ステップS24]の処理に従って、段数(ラウンド数)が2rのFeistel型共通鍵ブロック暗号処理構成の各段のF関数部の線形変換部の線形変換処理に適用する行列として設定する。すなわち、奇数段目については上位段から順にL1,L2,・・,Lq,L1,L2・・としてq個の正方MDS行列を繰り返し設定し、偶数段のF関数については、下位段のF関数から順に、L1,L2,・・,Lq,L1,L2・・として、q個の正方MDS行列を繰り返し設定する。
このように、偶数ラウンドの正方MDS行列と奇数ラウンドの正方MDS行列を互いに逆順に配置することによって、暗号化処理と復号処理は鍵の順序を入れ替える処理を除き同一であることが保証される。
本構成により、
(a)各F関数の線形変換行列は正方MDSであること、
(b)暗号化関数内の奇数ラウンド内に連続して含まれる線形変換行列、および偶数ラウンド内に連続して含まれる線形変換行列の逆行列の任意のm個の列ベクトルは独立であること、
が保証される。このことにより、線形攻撃における線形近似による解析困難性を高めることが可能となり、解析の困難性、すなわち鍵の解析の困難な安全性の高い暗号処理が実現される。
(処理例b2)
線形攻撃に対する耐性向上を実現した正方MDS行列の生成およびF関数への設定例の第2の例について、説明する。図16に示すフローチャートを参照して正方MDS行列の生成処理について説明する。
[ステップS501]
入力:必要な正方MDSの個数q,拡大次数:n,行列のサイズ:mとして、
GF(2)上で、q個のm次正方MDS行列M1,M2,...,Mqをランダムに生成する。なお、図16に示すフローでは、正方MDSの個数q=6,拡大次数:n=8,行列のサイズ:m=8の場合の処理例として示してある。
[ステップS502]
q個のm次正方MDS行列M1,M2,...,Mqの逆行列M1−1,M2−1,...,Mq−1を算出し、隣り合う2つの逆行列に含まれる2mの行ベクトルから任意のm本の行ベクトルを取り出したときに、正方MDS行列になっているかどうかをチェックする。図16中、Rは、行ベクトルの転置ベクトルを示すものである。チェックに通過したらステップS503に進む、そうでない場合はステップS401にもどる。ただし、M1−1とMq−1は、隣り合う行列とする。
なお、正方MDS行列とは、前述したように以下の性質を満たす行列をいう。
(a)正方行列である
(b)行列に含まれるすべての部分行列(submatrix)の行列式(determinant)が0でない、すなわち、det(submatrix)≠0
[ステップS503]
q個のm次正方MDS行列L1,L2,...,Lqを、ラウンド数2rのFeistel型共通鍵ブロック暗号に適用する正方MDS行列として出力する。
以上のプロセスによって、q個のm次正方MDS行列L1,L2,...,Lqが生成される。なお、q≦rである。
前述の処理例b1における正方MDS行列生成処理においては、図15の処理シーケンスにおいて説明したように、ステップS402において、q個のm次正方MDS行列のM1,M2,...,Mqの逆行列M1−1,M2−1,...,Mq−1に含まれるqm個の列の任意のm個を取り出したときの線形独立性を判定したが、この処理例b2における正方MDS行列生成処理においては、q個のm次正方MDS行列のM1,M2,...,Mqの逆行列M1−1,M2−1,...,Mq−1に含まれるqm個の列の任意のm個を取り出したとき正方MDS行列になっているかどうかをチェックする。すなわち、より厳しいチェックが実行されることになる。
この図16に示す処理シーケンスに従った正方MDS行列生成処理によって生成されたq個のm次正方MDS行列L1,L2,...,Lqが、先に説明した処理例b1と同様、先に、図10を参照して説明した、[ステップS23]、[ステップS24]の処理に従って、段数(ラウンド数)が2rのFeistel型共通鍵ブロック暗号処理構成の各段のF関数部の線形変換部の線形変換処理に適用する行列として設定される。すなわち、奇数段目については上位段から順にL1,L2,・・,Lq,L1,L2・・としてq個の正方MDS行列を繰り返し設定し、偶数段のF関数については、下位段のF関数から順に、L1,L2,・・,Lq,L1,L2・・として、q個の正方MDS行列を繰り返し設定する。
このように、偶数ラウンドの正方MDS行列と奇数ラウンドの正方MDS行列を互いに逆順に配置することによって、暗号化処理と復号処理は鍵の順序を入れ替える処理を除き同一であることが保証される。
本構成により、
(a)各F関数の線形変換行列は正方MDSであること、
(b)暗号化関数内の奇数ラウンド内に連続して含まれる線形変換行列、および偶数ラウンド内に連続して含まれる線形変換行列の逆行列の任意のm個の列ベクトルが正方MDS行列となること、
が保証される。このことにより、線形攻撃における線形近似による解析困難性を高めることが可能となり、解析の困難性、すなわち鍵の解析の困難な安全性の高い暗号処理が実現される。
[(3−c)差分攻撃および線形攻撃に対する耐性向上を実現した正方MDS行列の生成およびF関数への設定例]
次に、差分攻撃および線形攻撃に対する耐性向上を実現した正方MDS行列の生成およびF関数への設定例について説明する。
差分攻撃に対する耐性を持つ暗号処理アルゴリズムは、先に、図10〜図13を参照して説明した処理、すなわち、F関数の線形処理部における線形変換に適用する正方MDS行列を前述の処理例a1(図11)〜a3(図13)のいずれかの処理を適用して設定することで実現される。また、線形攻撃に対する耐性を持つ暗号処理アルゴリズムは、先に、図10、および図14、図15を参照して説明した処理、すなわち、F関数の線形処理部における線形変換に適用する正方MDS行列を前述の処理例b1(図14)、b2(図15)のいずれかの処理を適用して設定することで実現される。
差分攻撃および線形攻撃に対する耐性向上を実現した正方MDS行列は、
処理例a1(図11)〜a3(図13)のいずれかの処理と、
処理例b1(図14)、b2(図15)のいずれかの処理とを、
併せて実行して生成した正方MDS行列を、図10において説明した[ステップS23]、[ステップS24]の処理に従って、段数(ラウンド数)が2rのFeistel型共通鍵ブロック暗号処理構成の各段のF関数部の線形変換部の線形変換処理に適用する行列として設定することで実現される。
すなわち、
処理例a1と処理例b1、
処理例a1と処理例b2、
処理例a2と処理例b1、
処理例a2と処理例b2、
処理例a3と処理例b1、
処理例a3と処理例b2、
のいずれかの組み合わせによって、q個の正方MDS行列を生成し、2rのFeistel型共通鍵ブロック暗号処理構成の各段のF関数部の線形変換部の線形変換処理に適用する行列として設定する。奇数段目については上位段から順にL1,L2,・・,Lq,L1,L2・・としてq個の正方MDS行列を繰り返し設定し、偶数段のF関数については、下位段のF関数から順に、L1,L2,・・,Lq,L1,L2・・として、q個の正方MDS行列を繰り返し設定する。この設定により、差分攻撃および線形攻撃に対する耐性向上を実現した暗号処理が可能となる。
図17を参照して、差分攻撃および線形攻撃に対する耐性向上を実現した暗号処理を実現するための正方MDS行列の生成処理の一例について説明する。この処理は、前述した処理例a2と、処理例b2との組み合わせである。
[ステップS601]
入力:必要な正方MDSの個数q,拡大次数:n,行列のサイズ:mとして、
GF(2)上で、q個のm次正方MDS行列M1,M2,...,Mqをランダムに生成する。なお、図17に示すフローでは、正方MDSの個数q=6,拡大次数:n=8,行列のサイズ:m=8の場合の処理例として示してある。
[ステップS602]
q個のm次正方MDS行列M1,M2,...,Mqに含まれるqm個の列の任意のm個を取り出したときに、正方MDS行列になっているかどうかをチェックする。チェックに通過したらステップS603に進む、そうでない場合はステップS601にもどる。
なお、正方MDS行列とは、前述したように以下の性質を満たす行列をいう。
(a)正方行列である
(b)行列に含まれるすべての部分行列(submatrix)の行列式(determinant)が0でない、すなわち、det(submatrix)≠0
[ステップS603]
q個のm次正方MDS行列M1,M2,...,Mqの逆行列M1−1,M2−1,...,Mq−1を算出し、隣り合う2つの逆行列に含まれる2mの行ベクトルから任意のm本の行ベクトルを取り出したときに、正方MDS行列になっているかどうかをチェックする。図17中、Rは、行ベクトルの転置ベクトルを示すものである。チェックに通過したらステップS604に進む、そうでない場合はステップS601にもどる。ただし、M1−1とMq−1は、隣り合う行列とする。
[ステップS604]
q個のm次正方MDS行列L1,L2,...,Lqを、ラウンド数2rのFeistel型共通鍵ブロック暗号に適用する正方MDS行列として出力する。
以上のプロセスによって、q個のm次正方MDS行列L1,L2,...,Lqが生成される。なお、q≦rである。
この図17に示す処理シーケンスに従った正方MDS行列生成処理によって生成されたq個のm次正方MDS行列L1,L2,...,Lqが、先に、図10を参照して説明した、[ステップS23]、[ステップS24]の処理に従って、段数(ラウンド数)が2rのFeistel型共通鍵ブロック暗号処理構成の各段のF関数部の線形変換部の線形変換処理に適用する行列として設定される。すなわち、奇数段目については上位段から順にL1,L2,・・,Lq,L1,L2・・としてq個の正方MDS行列を繰り返し設定し、偶数段のF関数については、下位段のF関数から順に、L1,L2,・・,Lq,L1,L2・・として、q個の正方MDS行列を繰り返し設定する。
このように、偶数ラウンドの正方MDS行列と奇数ラウンドの正方MDS行列を互いに逆順に配置することによって、暗号化処理と復号処理は鍵の順序を入れ替える処理を除き同一であることが保証される。
本構成により、
(a)各F関数の線形変換行列は正方MDSであること、
(b)暗号化関数内の奇数ラウンド内の少なくとも連続するq個のF関数に含まれる線形変換行列の任意のm個の列ベクトルが正方MDS行列であること、
(c)偶数ラウンド内の少なくとも連続するq個のF関数に含まれる線形変換行列の任意のm個の列ベクトルが正方MDS行列であること、
これら(a)〜(c)が保証されるため、複数段のラウンド数を持つFeistel型共通鍵ブロック暗号処理構成において、連続する2q−1ラウンドにおいて、m個以下のアクティブSボックスの寄与による同時差分キャンセルは発生しないことが保証される。
さらに、
(d)正方MDSの性質から、a個(a≦m)のアクティブSボックスの寄与によって得られる差分値における非ゼロの要素数はm+1−a個以上になることが保証される。よって暗号化関数全体のアクティブSボックス数の最小値が増大する。
さらに、
(e)暗号化関数内の奇数ラウンド内に連続して含まれる線形変換行列、および偶数ラウンド内に連続して含まれる線形変換行列の逆行列の任意のm個の列ベクトルが正方MDS行列となることが保証される。このことにより、線形攻撃における線形近似による解析困難性を高めることが可能となり、解析の困難性、すなわち鍵の解析の困難な安全性の高い暗号処理が実現される。
このように、本処理例によって、差分攻撃および線形攻撃の双方の解析の困難性が向上し、鍵の解析の困難な安全性の高い暗号処理が実現される。なお、図17に示した例は、前述したように、先に説明した処理例a2と処理例b2の組み合わせによる正方MDS行列の生成例であるが、その他、処理例a1と処理例b1、処理例a1と処理例b2、処理例a2と処理例b1、処理例a3と処理例b1、処理例a3と処理例b2とを組み合わせてq個の正方MDS行列の生成を行い、段数(ラウンド数)が2rのFeistel型共通鍵ブロック暗号処理構成の各段のF関数部の線形変換部の線形変換処理に適用する行列として、奇数段目については上位段から順にL1,L2,・・,Lq,L1,L2・・としてq個の正方MDS行列を繰り返し設定し、偶数段のF関数については、下位段のF関数から順に、L1,L2,・・,Lq,L1,L2・・として、q個の正方MDS行列を繰り返し設定することによっても、差分攻撃および線形攻撃の双方の解析の困難性が高く、鍵の解析の困難な安全性の高い暗号処理が実現可能である。
これまでの説明では、分かりやすさを優先して線形変換行列をGF(2)上で定義されるm×mの行列として、mnビットからmnビットへのデータ変換演算としてきたが、差分解析および線形解析に対する同様な効果がGF(2)上で定義されるmn×mnの行列を用いた場合でも有効である。実際、任意のGF(2)上の行列は同じ変換を表すGF(2)上の行列に一対一で対応させることができる。よってGF(2)上の行列はより一般的な表現を表しているといえる。GF(2)上では行と列の本数がmn本ずつと、GF(2)の場合と比べてn倍となる。このためGF(2)上の行列の1行目は、GF(2)上の行列の1からn行目に対応し、1列目は1からn列目に対応している。つまりi行目は(i−1)+1行目から(i−1)+n行目に対応し、i列目は(i−1)+1列目から(i−1)+n列目に対応している。よって、GF(2)上の行や列を取り出してくる操作には、GF(2)上で定義される行列を用いる場合は、対応するn行分もしくはn列分を取り出すという操作を対応させればよい。GF(2)上のm本の行や列を取り出す操作は、GF(2)上ではn本の行や列をm回取り出すことになり、結果としてmn×mnの行列を得ることができる。以上の対応付けにより、GF(2)上で定義される行列に容易に拡張することができる。
最後に、暗号処理を実行する暗号処理装置としてのICモジュール600の構成例を図18に示す。上述の処理は、例えばPC、ICカード、リーダライタ、その他、様々な情報処理装置において実行可能であり、図18に示すICモジュール600は、これら様々な機器に構成することが可能である。
図18に示すCPU(Central processing Unit)601は、暗号処理の開始や、終了、データの送受信の制御、各構成部間のデータ転送制御、その他の各種プログラムを実行するプロセッサである。メモリ602は、CPU601が実行するプログラム、あるいは演算パラメータとしての固定データを格納するROM(Read-Only-Memory)、CPU601の処理において実行されるプログラム、およびプログラム処理において適宜変化するパラメータの格納エリア、ワーク領域として使用されるRAM(Random Access Memory)等からなる。また、メモリ602は暗号処理に必要な鍵データ等の格納領域として使用可能である。データ等の格納領域は、耐タンパ構造を持つメモリとして構成されることが好ましい。
暗号処理部603は、例えば上述したFeistel型共通鍵ブロック暗号処理アルゴリズムに従った暗号処理、復号処理等を実行する。なお、ここでは、暗号処理手段を個別モジュールとした例を示したが、このような独立した暗号処理モジュールを設けず、例えば暗号処理プログラムをROMに格納し、CPU601がROM格納プログラムを読み出して実行するように構成してもよい。
乱数発生器604は、暗号処理に必要となる鍵の生成などにおいて必要となる乱数の発生処理を実行する。
送受信部605は、外部とのデータ通信を実行するデータ通信処理部であり、例えばリーダライタ等、ICモジュールとのデータ通信を実行し、ICモジュール内で生成した暗号文の出力、あるいは外部のリーダライタ等の機器からのデータ入力などを実行する。
以上、特定の実施例を参照しながら、本発明について詳解してきた。しかしながら、本発明の要旨を逸脱しない範囲で当業者が該実施例の修正や代用を成し得ることは自明である。すなわち、例示という形態で本発明を開示してきたのであり、限定的に解釈されるべきではない。本発明の要旨を判断するためには、特許請求の範囲の欄を参酌すべきである。
なお、明細書中において説明した一連の処理はハードウェア、またはソフトウェア、あるいは両者の複合構成によって実行することが可能である。ソフトウェアによる処理を実行する場合は、処理シーケンスを記録したプログラムを、専用のハードウェアに組み込まれたコンピュータ内のメモリにインストールして実行させるか、あるいは、各種処理が実行可能な汎用コンピュータにプログラムをインストールして実行させることが可能である。
例えば、プログラムは記録媒体としてのハードディスクやROM(Read Only Memory)に予め記録しておくことができる。あるいは、プログラムはフレキシブルディスク、CD−ROM(Compact Disc Read Only Memory),MO(Magneto optical)ディスク,DVD(Digital Versatile Disc)、磁気ディスク、半導体メモリなどのリムーバブル記録媒体に、一時的あるいは永続的に格納(記録)しておくことができる。このようなリムーバブル記録媒体は、いわゆるパッケージソフトウエアとして提供することができる。
なお、プログラムは、上述したようなリムーバブル記録媒体からコンピュータにインストールする他、ダウンロードサイトから、コンピュータに無線転送したり、LAN(Local Area Network)、インターネットといったネットワークを介して、コンピュータに有線で転送し、コンピュータでは、そのようにして転送されてくるプログラムを受信し、内蔵するハードディスク等の記録媒体にインストールすることができる。
なお、明細書に記載された各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。また、本明細書においてシステムとは、複数の装置の論理的集合構成であり、各構成の装置が同一筐体内にあるものには限らない。
上述したように、本発明の構成によれば、非線形変換部および線形変換部を有するSPN型のF関数を、複数ラウンド繰り返し実行するFeistel型共通鍵ブロック暗号処理において、複数ラウンド各々に対応するF関数の線形変換処理を、正方MDS(Maximum Distance Separable)行列を適用した線形変換処理として実行するとともに、少なくとも連続する偶数ラウンドおよび連続する奇数ラウンドの各々において異なる正方MDS行列:La,Lbを適用し、かつ該正方MDS行列の逆行列:La−1,Lb−1を構成する列ベクトルから任意に選択したm個の列ベクトルによって構成する行列が線形独立であるか、あるいは正方MDS行列を構成する性質とした正方MDS行列による線形変換処理を実行する構成としたので、共通鍵ブロック暗号における線形攻撃に対する耐性が向上し、暗号鍵等の解析困難性が高まることとなり、安全性の高い暗号処理が実現される。従って、鍵解析困難性を高め、安全性の要求される暗号処理実行装置において適用可能である。
さらに、本発明の構成によれば、非線形変換部および線形変換部を有するSPN型のF関数を、複数ラウンド繰り返し実行するFeistel型共通鍵ブロック暗号処理において、複数ラウンド各々に対応するF関数の線形変換処理を、正方MDS(Maximum Distance Separable)行列を適用した線形変換処理として実行するとともに、少なくとも連続する偶数ラウンドおよび連続する奇数ラウンドの各々において異なる正方MDS行列を適用する構成とし、これらの正方MDS行列自身が、線形独立性を示すか、または正方MDS行列を構成する構成としたので、アクティブSボックスの寄与による同時差分キャンセルの発生しないことが保証され、共通鍵ブロック暗号における差分攻撃に対する強度指標のひとつである暗号化関数全体でのアクティブSボックスの最少数を大きくすることが可能となる。本構成により、線形攻撃、差分攻撃の双方に対して耐性が向上し、より安全性の高い暗号処理が実現される。従って、鍵解析困難性を高め、安全性の要求される暗号処理実行装置において適用可能である。
Feistel構造を持つ代表的な共通鍵ブロック暗号の構成を示す図である。 ラウンド関数部として設定されるF関数の構成について説明する図である。 線形変換部において、線形変換処理に適用する正方行列の例を示す図である。 m=8,n=8の128bitブロック暗号における3段の同時差分キャンセルの様子を説明する図である。 F関数の線形変換部において、正方行列による線形変換が実行されて、F関数出力差分ΔYiを生成する具体例を説明する図である。 m=8,n=8の128bitブロック暗号における5段の同時差分キャンセルの様子を説明する図である。 共通鍵ブロック暗号における任意段の同時差分キャンセルの定義を説明する図である。 正方MDS行列の一例を示す図である。 本発明に係る共通鍵ブロック暗号処理アルゴリズムにおける各ラウンドのF関数の線形変換行列としての正方MDS行列設定例を説明する図である。 本発明に係る共通鍵ブロック暗号処理アルゴリズムにおける各ラウンドのF関数の線形変換行列としての正方MDS行列設定処理シーケンスを説明するフロー図である。 各ラウンドのF関数に設定する線形変換行列である正方MDS行列の生成手法として、差分攻撃に対する耐性向上を実現する正方MDS行列生成処理例a1を説明するフロー図である。 各ラウンドのF関数に設定する線形変換行列である正方MDS行列の生成手法として、差分攻撃に対する耐性向上を実現する正方MDS行列生成処理例a2を説明するフロー図である。 各ラウンドのF関数に設定する線形変換行列である正方MDS行列の生成手法として、差分攻撃に対する耐性向上を実現する正方MDS行列生成処理例a3を説明するフロー図である。 各ラウンドのF関数に設定する線形変換行列である正方MDS行列の生成処理例a3の具体的手法を説明する図である。 各ラウンドのF関数に設定する線形変換行列である正方MDS行列の生成手法として、線形攻撃に対する耐性向上を実現する正方MDS行列生成処理例b1を説明するフロー図である。 各ラウンドのF関数に設定する線形変換行列である正方MDS行列の生成手法として、線形攻撃に対する耐性向上を実現する正方MDS行列生成処理例b2を説明するフロー図である。 各ラウンドのF関数に設定する線形変換行列である正方MDS行列の生成手法として、差分攻撃および線形攻撃に対する耐性向上を実現する正方MDS行列生成処理例を説明するフロー図である。 本発明にかかる暗号処理を実行する暗号処理装置としてのICモジュールの構成例を示す図である。
符号の説明
101 入力データP(Plain-Left)
102 入力データP(Plain-Right)
103 ラウンド鍵
104 排他的論理和部
120 F関数
121 Sボックス(S−box)
122 線形変換部
125 正方行列
131,133 排他的論理和部
141〜145 排他的論理和部
401 F関数
402 正方MDS行列
600 ICモジュール
601 CPU(Central processing Unit)
602 メモリ
603 暗号処理部
604 乱数発生器
605 送受信部

Claims (21)

  1. 入力情報を非線形変換し、第1非線形変換情報を出力する第1非線形変換部と、当該第1非線形変換情報を線形変換して第1線形変換情報を出力する第1線形変換部とを有する第1暗号処理部と、
    入力情報を非線形変換し、第2非線形変換情報を出力する第2非線形変換部と、当該第2非線形変換情報を線形変換して第2線形変換情報を出力する第2線形変換部とを有する第2暗号処理部と、
    前記第2暗号処理部からの出力と、前記第1暗号処理部からの出力とが入力される排他的論理和部を備え、
    前記第1非線形変換情報を第1列ベクトルで示すと共に前記第1線形変換情報を第2列ベクトルで示した場合に、当該第1列ベクトルを当該第2列ベクトルに変換する第1行列の逆行列から選択した第1行ベクトルと、
    前記第2非線形変換情報を第3列ベクトルで示すと共に前記第2線形変換情報を第4列ベクトルで示した場合に、当該第3列ベクトルを当該第4列ベクトルに変換する第2行列の逆行列から選択した第2行ベクトルとが、
    いずれの行ベクトルを選択した場合でも互いに線形独立であることを特徴とする暗号処理装置。
  2. 前記暗号処理装置は、
    前記排他的論理和部における排他的論理和結果を前記第1暗号処理部または前記第2暗号処理部に再度入力し、前記第1暗号処理部および前記第2暗号処理部における暗号処理を繰り返し実行する構成であることを特徴とする請求項1に記載の暗号処理装置。
  3. Feistel型共通鍵ブロック暗号処理を実行する暗号処理装置であり、
    非線形変換部および線形変換部を有するSPN型のF関数を、複数ラウンド繰り返し実行する構成を有し、
    前記複数ラウンド各々に対応するF関数の線形変換部は、m個の非線形変換部各々の出力するnビット、総計mnビットの入力に対する線形変換処理を、正方MDS(Maximum Distance Separable)行列を適用した線形変換処理として実行する構成であり、
    少なくとも連続する偶数ラウンドおよび連続する奇数ラウンドの各々においては、異なる正方MDS行列:La,Lbが適用され、かつ該正方MDS行列の逆行列:La−1,Lb−1を構成する行ベクトルから任意に選択したm個の行ベクトルが線形独立であることを特徴とする暗号処理装置。
  4. 前記暗号処理装置において、さらに、
    前記逆行列:La−1,Lb−1を構成する行ベクトルから任意に選択したm個の行ベクトルによって構成する行列が正方MDS行列であることを特徴とする請求項3に記載の暗号処理装置。
  5. 前記Feistel型共通鍵ブロック暗号処理のアルゴリズムは、ラウンド数2rの暗号処理アルゴリズムであり、
    前記F関数の線形変換部は、
    r個の全ての偶数ラウンドおよびr個の全ての奇数ラウンドにおいて2≦q≦rのq種類の異なる正方MDS行列を順次繰り返し適用した線形変換処理を実行する構成であることを特徴とする請求項3に記載の暗号処理装置。
  6. 前記F関数の線形変換部において適用する異なる複数の正方MDS行列の各々は、該複数の正方MDS行列の逆行列を構成する行ベクトルから任意に選択したm個の行ベクトルが線形独立であることを特徴とする請求項3に記載の暗号処理装置。
  7. 前記F関数の線形変換部において適用する異なる複数の正方MDS行列の各々は、該複数の正方MDS行列の逆行列を構成する行ベクトルから任意に選択したm個の行ベクトルによって構成する行列も正方MDS行列となることを特徴とする請求項3に記載の暗号処理装置。
  8. 前記F関数の線形変換部において適用する異なる複数の行列の各々の逆行列は、該複数の正方MDS行列を構成する要素を全て含むMDS行列Mから選択された列ベクトルによって構成される行列M'から抽出された行ベクトルによって構成される行列によって構成されていることを特徴とする請求項3に記載の暗号処理装置。
  9. 暗号処理装置において暗号処理を実行する暗号処理方法であり、
    前記暗号処理装置の第1暗号処理部の第1非線形変換部において入力情報を非線形変換して第1非線形変換情報を出力し、第1暗号処理部の第1線形変換部において当該第1非線形変換情報を線形変換して第1線形変換情報を出力する第1暗号処理ステップと、
    前記暗号処理装置の第2暗号処理部の第2非線形変換部において入力情報を非線形変換して第2非線形変換情報を出力し、第2暗号処理部の第2線形変換部において当該第2非線形変換情報を線形変換して第2線形変換情報を出力する第2暗号処理ステップと、
    前記暗号処理装置の排他的論理和部が、前記第2暗号処理部からの出力と、前記第1暗号処理部からの出力とを入力して排他的論理和処理を実行する排他的論理和ステップとを有し、
    前記第1暗号処理ステップの第1線形変換処理は、前記第1非線形変換情報を第1列ベクトルで示すと共に前記第1線形変換情報を第2列ベクトルで示した場合に、当該第1列ベクトルを当該第2列ベクトルに変換する第1行列を適用した第1線形変換処理実行ステップであり、
    前記第2暗号処理ステップの第2線形変換処理は、前記第2非線形変換情報を第3列ベクトルで示すと共に前記第2線形変換情報を第4列ベクトルで示した場合に、当該第3列ベクトルを当該第4列ベクトルに変換する第2行列を適用した第2線形変換処理実行ステップであり、
    前記第1線形変換処理実行ステップにおいて適用する前記第1行列の逆行列から選択した第1行ベクトルと、第2線形変換処理実行ステップにおいて適用する前記第2行列の逆行列から選択した第2行ベクトルとは互いに線形独立であることを特徴とする暗号処理方法。
  10. 前記暗号処理方法は、
    前記排他的論理和ステップにおける排他的論理和結果を前記第1暗号処理部または前記第2暗号処理部に再度入力し、前記第1暗号処理ステップおよび前記第2暗号処理ステップの暗号処理を繰り返し実行することを特徴とする請求項9に記載の暗号処理方法。
  11. 暗号処理装置において、Feistel型共通鍵ブロック暗号処理を実行する暗号処理方法であり、
    前記暗号処理装置の非線形変換部および線形変換部において、非線形変換処理および線形変換処理を実行するSPN型のF関数を、複数ラウンド繰り返し実行し、
    前記複数ラウンド各々に対応するF関数の線形変換処理は、m個の非線形変換部各々の出力するnビット、総計mnビットの入力に対する線形変換処理を、正方MDS(Maximum Distance Separable)行列を適用した線形変換処理として実行し、
    少なくとも連続する偶数ラウンドおよび連続する奇数ラウンドの各々においては、異なる正方MDS行列:La,Lbが適用され、かつ該正方MDS行列の逆行列:La−1,Lb−1を構成する行ベクトルから任意に選択したm個の行ベクトルが線形独立であることを特徴とする暗号処理方法。
  12. 前記暗号処理方法において、さらに、
    前記逆行列:La−1,Lb−1を構成する行ベクトルから任意に選択したm個の行ベクトルによって構成する行列が正方MDS行列であることを特徴とする請求項11に記載の暗号処理方法。
  13. 前記Feistel型共通鍵ブロック暗号処理のアルゴリズムは、ラウンド数2rの暗号処理アルゴリズムであり、
    前記F関数の線形変換処理は、
    r個の全ての偶数ラウンドおよびr個の全ての奇数ラウンドにおいて2≦q≦rのq種類の異なる正方MDS行列を順次繰り返し適用した線形変換処理を実行することを特徴とする請求項11に記載の暗号処理方法。
  14. 前記F関数の線形変換処理において適用する異なる複数の正方MDS行列の各々は、該複数の正方MDS行列の逆行列を構成する行ベクトルから任意に選択したm個の行ベクトルによって構成する行列が線形独立であることを特徴とする請求項11に記載の暗号処理方法。
  15. 前記F関数の線形変換処理において適用する異なる複数の正方MDS行列の各々は、該複数の正方MDS行列の逆行列を構成する行ベクトルから任意に選択したm個の行ベクトルによって構成する行列も正方MDS行列となることを特徴とする請求項11に記載の暗号処理方法。
  16. 前記F関数の線形変換処理において適用する異なる複数の行列の各々の逆行列は、該複数の正方MDS行列を構成する要素を全て含むMDS行列Mから選択された列ベクトルによって構成される行列M'から抽出された行ベクトルによって構成される行列によって構成されていることを特徴とする請求項11に記載の暗号処理方法。
  17. 暗号処理装置において暗号処理を実行させるコンピュータ・プログラムであり、
    前記暗号処理装置の第1暗号処理部の第1非線形変換部に入力情報を非線形変換させて第1非線形変換情報を出力させ、第1暗号処理部の第1線形変換部に当該第1非線形変換情報を線形変換させて第1線形変換情報を出力させる第1暗号処理ステップと、
    前記暗号処理装置の第2暗号処理部の第2非線形変換部に入力情報を非線形変換させて第2非線形変換情報を出力させ、第2暗号処理部の第2線形変換部に当該第2非線形変換情報を線形変換させて第2線形変換情報を出力させる第2暗号処理ステップと、
    前記暗号処理装置の排他的論理和部に、前記第2暗号処理部からの出力と、前記第1暗号処理部からの出力とを入力して排他的論理和処理を実行させる排他的論理和ステップとを有し、
    前記第1暗号処理ステップの第1線形変換処理は、前記第1非線形変換情報を第1列ベクトルで示すと共に前記第1線形変換情報を第2列ベクトルで示した場合に、当該第1列ベクトルを当該第2列ベクトルに変換する第1行列を適用した第1線形変換処理実行ステップであり、
    前記第2暗号処理ステップの第2線形変換処理は、前記第2非線形変換情報を第3列ベクトルで示すと共に前記第2線形変換情報を第4列ベクトルで示した場合に、当該第3列ベクトルを当該第4列ベクトルに変換する第2行列を適用した第2線形変換処理実行ステップであり、
    前記第1線形変換処理実行ステップにおいて適用する前記第1行列の逆行列から選択した第1行ベクトルと、第2線形変換処理実行ステップにおいて適用する前記第2行列の逆行列から選択した第2行ベクトルとは互いに線形独立であることを特徴とするコンピュータ・プログラム。
  18. 暗号処理装置において、Feistel型共通鍵ブロック暗号処理を実行させるコンピュータ・プログラムであり、
    前記暗号処理装置の非線形変換部および線形変換部に、非線形変換処理および線形変換処理を実行するSPN型のF関数を、複数ラウンド繰り返し実行させるステップを有し、
    前記複数ラウンド各々に対応するF関数の線形変換処理は、m個の非線形変換部各々の出力するnビット、総計mnビットの入力に対する線形変換処理を、正方MDS(Maximum Distance Separable)行列を適用した線形変換処理として実行する線形変換ステップであり、
    前記線形変換ステップにおいて、少なくとも連続する偶数ラウンドおよび連続する奇数ラウンドの各々では、異なる正方MDS行列:La,Lbが適用され、かつ該正方MDS行列の逆行列:La−1,Lb−1を構成する行ベクトルから任意に選択したm個の行ベクトルが線形独立であることを特徴とするコンピュータ・プログラム。
  19. 暗号処理に使用する鍵を格納するメモリと、暗号処理プログラムを実行するプロセッサとを備える暗号処理装置であって、
    前記プロセッサは、入力情報を非線形変換し、第1非線形変換情報を出力する第1非線形変換部と、当該第1非線形変換情報を線形変換して第1線形変換情報を出力する第1線形変換部とを有する第1暗号処理部と、入力情報を非線形変換し、第2非線形変換情報を出力する第2非線形変換部と、当該第2非線形変換情報を線形変換して第2線形変換情報を出力する第2線形変換部とを有する第2暗号処理部と、前記第2暗号処理部からの出力と、前記第1暗号処理部からの出力とが入力される排他的論理和部を備え、
    前記第1非線形変換情報を第1列ベクトルで示すと共に前記第1線形変換情報を第2列ベクトルで示した場合に、当該第1列ベクトルを当該第2列ベクトルに変換する第1行列の逆行列から選択した第1行ベクトルと、前記第2非線形変換情報を第3列ベクトルで示すと共に前記第2線形変換情報を第4列ベクトルで示した場合に、当該第3列ベクトルを当該第4列ベクトルに変換する第2行列の逆行列から選択した第2行ベクトルとが、いずれの行ベクトルを選択した場合でも互いに線形独立である、
    暗号処理装置。
  20. 前記暗号処理装置は、
    前記排他的論理和部における排他的論理和結果を前記第1暗号処理部または前記第2暗号処理部に再度入力し、前記第1暗号処理部および前記第2暗号処理部における暗号処理を繰り返し実行する構成であることを特徴とする請求項19に記載の暗号処理装置。
  21. 前記暗号処理装置は、さらに外部機器とのデータ通信を行う送受信部を備える、請求項19または20に記載の暗号処理装置。
JP2004256465A 2004-09-03 2004-09-03 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム Expired - Fee Related JP4561252B2 (ja)

Priority Applications (17)

Application Number Priority Date Filing Date Title
JP2004256465A JP4561252B2 (ja) 2004-09-03 2004-09-03 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム
EP05781289A EP1788542B1 (en) 2004-09-03 2005-08-30 Encryption device, encryption method, and computer program
CNB2005800012597A CN100511331C (zh) 2004-09-03 2005-08-30 密码处理装置、密码处理方法及其计算机程序
BRPI0506365A BRPI0506365B1 (pt) 2004-09-03 2005-08-30 aparelho e método de processamento criptográfico, e, meio de armazenamento legível por computador para realizar o referido método
ES10011884T ES2860689T3 (es) 2004-09-03 2005-08-30 Sobre el cifrado de Feistel mediante el uso de mapeos de difusión óptimos a lo largo de múltiples rondas
ES10011885T ES2879845T3 (es) 2004-09-03 2005-08-30 Sobre el cifrado de Feistel mediante el uso de mapeos de difusión óptimos a lo largo de múltiples rondas
PCT/JP2005/015815 WO2006025416A1 (ja) 2004-09-03 2005-08-30 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム
EP10011884.3A EP2375624B1 (en) 2004-09-03 2005-08-30 On Feistel ciphers using optimal diffusion mappings across multiple rounds
ES05781289T ES2391639T3 (es) 2004-09-03 2005-08-30 Dispositivo de cifrado, método de cifrado, y programa de ordenador
US10/577,955 US7747011B2 (en) 2004-09-03 2005-08-30 Encryption device, encryption method, and computer program
EP10011885.0A EP2375625B1 (en) 2004-09-03 2005-08-30 On Feistel ciphers using optimal diffusion mappings across multiple rounds
RU2006114754/12A RU2383934C2 (ru) 2004-09-03 2005-08-30 Устройство криптографической обработки, способ криптографической обработки
KR1020067006887A KR101091749B1 (ko) 2004-09-03 2006-04-10 암호 처리 장치, 암호 처리 방법 및 기록매체
HK07101567.4A HK1096758A1 (en) 2004-09-03 2007-02-09 Encryption device, encryption method, and computer program
US12/780,512 US8275127B2 (en) 2004-09-03 2010-05-14 Cryptographic processing apparatus, cryptographic processing method, and computer program therefor
US13/594,444 US8767956B2 (en) 2004-09-03 2012-08-24 Cryptographic processing apparatus, cryptographic processing method, and computer program therefor
US14/278,632 US9240885B2 (en) 2004-09-03 2014-05-15 Cryptographic processing apparatus, cryptographic processing method, and computer program therefor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004256465A JP4561252B2 (ja) 2004-09-03 2004-09-03 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム

Publications (3)

Publication Number Publication Date
JP2006072054A JP2006072054A (ja) 2006-03-16
JP2006072054A5 JP2006072054A5 (ja) 2007-06-28
JP4561252B2 true JP4561252B2 (ja) 2010-10-13

Family

ID=36000066

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004256465A Expired - Fee Related JP4561252B2 (ja) 2004-09-03 2004-09-03 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム

Country Status (10)

Country Link
US (4) US7747011B2 (ja)
EP (3) EP1788542B1 (ja)
JP (1) JP4561252B2 (ja)
KR (1) KR101091749B1 (ja)
CN (1) CN100511331C (ja)
BR (1) BRPI0506365B1 (ja)
ES (3) ES2879845T3 (ja)
HK (1) HK1096758A1 (ja)
RU (1) RU2383934C2 (ja)
WO (1) WO2006025416A1 (ja)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4622222B2 (ja) * 2003-09-30 2011-02-02 ソニー株式会社 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム
JP4561252B2 (ja) 2004-09-03 2010-10-13 ソニー株式会社 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム
JP4622807B2 (ja) 2005-03-25 2011-02-02 ソニー株式会社 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム
US7970133B2 (en) * 2006-01-19 2011-06-28 Rockwell Collins, Inc. System and method for secure and flexible key schedule generation
JP4882598B2 (ja) * 2006-07-28 2012-02-22 ソニー株式会社 暗号処理装置、暗号処理アルゴリズム構築方法、および暗号処理方法、並びにコンピュータ・プログラム
JP4967544B2 (ja) * 2006-09-01 2012-07-04 ソニー株式会社 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム
JP2008058830A (ja) 2006-09-01 2008-03-13 Sony Corp データ変換装置、およびデータ変換方法、並びにコンピュータ・プログラム
JP5023624B2 (ja) 2006-09-01 2012-09-12 ソニー株式会社 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム
JP2010044251A (ja) * 2008-08-13 2010-02-25 Hitachi Ltd ハッシュ値生成装置、プログラム及びハッシュ値生成方法
WO2011075902A1 (zh) * 2009-12-24 2011-06-30 华南理工大学 一种基于线性几何的群组密钥管理方法
JP5578422B2 (ja) * 2010-07-21 2014-08-27 日本電気株式会社 暗号化通信システム、送信装置、受信装置、暗号化/復号化方法およびそれらのプログラム
US20120079462A1 (en) * 2010-09-24 2012-03-29 SoftKrypt LLC Systems and methods of source software code obfuscation
MY150357A (en) * 2010-11-04 2013-12-31 Mimos Berhad A method for linear transformation in substitution-permutation networks symmetric-key block cipher
JP5682527B2 (ja) * 2011-03-28 2015-03-11 ソニー株式会社 暗号処理装置、および暗号処理方法、並びにプログラム
JP6519473B2 (ja) 2013-08-02 2019-06-05 日本電気株式会社 認証暗号装置、認証暗号方法および認証暗号用プログラム
CN103427986B (zh) * 2013-08-22 2016-08-24 中国科学院信息工程研究所 获取分组密码活跃s盒个数下界的方法
JP5772934B2 (ja) * 2013-12-02 2015-09-02 ソニー株式会社 データ変換装置、およびデータ変換方法、並びにコンピュータ・プログラム
CN103701584B (zh) * 2013-12-10 2017-01-18 中国船舶重工集团公司第七0九研究所 一种对称密码中二进制线性扩散结构的设计方法
US10608814B2 (en) * 2015-05-17 2020-03-31 Gideon Samid Equivoe-T: Transposition equivocation cryptography
US11038668B2 (en) * 2015-05-17 2021-06-15 Gideon Samid Transposition encryption alphabet method (TEAM)
CN105912938B (zh) * 2016-04-01 2019-02-12 青岛大学 一种求多元素逆元的计算方法及计算系统
KR20190037980A (ko) 2017-09-29 2019-04-08 한밭대학교 산학협력단 퍼베이시브 컴퓨팅을 위한 효과적인 초경량 블록 암호 시스템
JP7244060B2 (ja) * 2019-02-20 2023-03-22 Necソリューションイノベータ株式会社 ブロック暗号装置、ブロック暗号方法およびプログラム
US11615025B2 (en) * 2020-02-10 2023-03-28 SK Hynix Inc. Encoding and decoding device for system data of storage device

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002023623A (ja) * 2000-07-13 2002-01-23 Toshiba Corp パラメータ決定装置、パラメータ決定方法、暗号化装置、および復号装置
JP2002091297A (ja) * 2000-07-13 2002-03-27 Fujitsu Ltd F関数内部にspn構造を用いた演算装置および演算方法
JP2005107078A (ja) * 2003-09-30 2005-04-21 Sony Corp 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3499810B2 (ja) * 2000-03-06 2004-02-23 株式会社東芝 暗号化装置、暗号化方法及び暗号化装置としてコンピュータを機能させるためのプログラムを記録したコンピュータ読取り可能な記録媒体並びに復号装置、復号方法及び復号装置としてコンピュータを機能させるためのプログラムを記録したコンピュータ読取り可能な記録媒体
US7305085B2 (en) * 2000-06-30 2007-12-04 Kabushiki Kaisha Toshiba Encryption apparatus and method, and decryption apparatus and method based on block encryption
JP3505482B2 (ja) * 2000-07-12 2004-03-08 株式会社東芝 暗号化装置、復号装置及び拡大鍵生成装置、拡大鍵生成方法並びに記録媒体
US20020021801A1 (en) * 2000-07-13 2002-02-21 Takeshi Shimoyama Computing apparatus using an SPN structure in an F function and a computation method thereof
JP3901959B2 (ja) * 2000-07-13 2007-04-04 富士通株式会社 Feistel構造とSPN構造とを組み合わせた演算装置および演算方法
JP2003098959A (ja) * 2001-09-21 2003-04-04 Toshiba Corp 暗号処理装置
US20030233557A1 (en) * 2002-06-13 2003-12-18 Zimmerman Thomas Guthrie Electronic signature verification method and apparatus
US20040088588A1 (en) * 2002-10-31 2004-05-06 International Business Machines Corporation Limited resource access while power-on-password is active
JP2004245988A (ja) 2003-02-13 2004-09-02 Sony Corp データ処理装置、その方法およびそのプログラムと線形変換回路および暗号化回路
JP4466108B2 (ja) * 2004-02-13 2010-05-26 株式会社日立製作所 証明書発行方法および証明書検証方法
JP4561252B2 (ja) * 2004-09-03 2010-10-13 ソニー株式会社 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム
JP4622807B2 (ja) * 2005-03-25 2011-02-02 ソニー株式会社 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム
JP2007199156A (ja) * 2006-01-24 2007-08-09 Sony Corp 暗号処理装置、暗号処理装置製造装置、および方法、並びにコンピュータ・プログラム
US8146139B2 (en) * 2006-06-30 2012-03-27 Samsung Electronics Co., Ltd. System and method of user authentication using handwritten signatures for an MFP
JP4882598B2 (ja) * 2006-07-28 2012-02-22 ソニー株式会社 暗号処理装置、暗号処理アルゴリズム構築方法、および暗号処理方法、並びにコンピュータ・プログラム
JP2008058830A (ja) * 2006-09-01 2008-03-13 Sony Corp データ変換装置、およびデータ変換方法、並びにコンピュータ・プログラム
JP5682526B2 (ja) 2011-03-28 2015-03-11 ソニー株式会社 データ処理装置、およびデータ処理方法、並びにプログラム
JP5652363B2 (ja) 2011-03-28 2015-01-14 ソニー株式会社 暗号処理装置、および暗号処理方法、並びにプログラム
JP5682525B2 (ja) 2011-03-28 2015-03-11 ソニー株式会社 暗号処理装置、および暗号処理方法、並びにプログラム

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002023623A (ja) * 2000-07-13 2002-01-23 Toshiba Corp パラメータ決定装置、パラメータ決定方法、暗号化装置、および復号装置
JP2002091297A (ja) * 2000-07-13 2002-03-27 Fujitsu Ltd F関数内部にspn構造を用いた演算装置および演算方法
JP2005107078A (ja) * 2003-09-30 2005-04-21 Sony Corp 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム

Also Published As

Publication number Publication date
EP1788542A1 (en) 2007-05-23
BRPI0506365B1 (pt) 2019-01-15
EP1788542B1 (en) 2012-07-18
EP1788542A4 (en) 2008-01-16
EP2375624B1 (en) 2021-03-17
CN1879138A (zh) 2006-12-13
EP2375625A3 (en) 2015-05-06
JP2006072054A (ja) 2006-03-16
EP2375624A3 (en) 2015-05-06
KR101091749B1 (ko) 2011-12-08
RU2006114754A (ru) 2007-11-10
KR20070058370A (ko) 2007-06-08
BRPI0506365A (pt) 2006-10-31
EP2375625A2 (en) 2011-10-12
EP2375624A2 (en) 2011-10-12
US20120324243A1 (en) 2012-12-20
US20140247937A1 (en) 2014-09-04
ES2879845T3 (es) 2021-11-23
EP2375625B1 (en) 2021-06-16
US7747011B2 (en) 2010-06-29
HK1096758A1 (en) 2007-06-08
US9240885B2 (en) 2016-01-19
US8767956B2 (en) 2014-07-01
CN100511331C (zh) 2009-07-08
US20090103714A1 (en) 2009-04-23
WO2006025416A1 (ja) 2006-03-09
ES2860689T3 (es) 2021-10-05
US20110026706A1 (en) 2011-02-03
ES2391639T3 (es) 2012-11-28
RU2383934C2 (ru) 2010-03-10
US8275127B2 (en) 2012-09-25

Similar Documents

Publication Publication Date Title
JP4561252B2 (ja) 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム
JP4622222B2 (ja) 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム
CN101834719B (zh) 加密处理装置用矩阵生成方法
US8737603B2 (en) Cryptographic processing apparatus, cryptographic processing method, and computer program
JP5050454B2 (ja) 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム
JP2008058830A (ja) データ変換装置、およびデータ変換方法、並びにコンピュータ・プログラム
JP2007192893A (ja) 暗号処理装置、および暗号処理方法、並びにコンピュータ・プログラム
JP2007199156A (ja) 暗号処理装置、暗号処理装置製造装置、および方法、並びにコンピュータ・プログラム
Dawood et al. The new block cipher design (Tigris Cipher)
JP5338945B2 (ja) 復号処理装置、情報処理装置、および復号処理方法、並びにコンピュータ・プログラム
Sakalli How to teach undergraduate students a real cipher design

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20061121

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070510

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100420

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100616

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100706

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100719

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130806

Year of fee payment: 3

R151 Written notification of patent or utility model registration

Ref document number: 4561252

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130806

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees