特表-13161841IP Force 特許公報掲載プロジェクト 2015.5.11 β版

知財求人 - 知財ポータルサイト「IP Force」

▶ 日本電気株式会社の特許一覧
再表2013-161841フォーマット保存暗号化装置、方法およびプログラム、復号化装置、方法およびプログラム
<>
  • 再表WO2013161841-フォーマット保存暗号化装置、方法およびプログラム、復号化装置、方法およびプログラム 図000018
  • 再表WO2013161841-フォーマット保存暗号化装置、方法およびプログラム、復号化装置、方法およびプログラム 図000019
  • 再表WO2013161841-フォーマット保存暗号化装置、方法およびプログラム、復号化装置、方法およびプログラム 図000020
  • 再表WO2013161841-フォーマット保存暗号化装置、方法およびプログラム、復号化装置、方法およびプログラム 図000021
  • 再表WO2013161841-フォーマット保存暗号化装置、方法およびプログラム、復号化装置、方法およびプログラム 図000022
  • 再表WO2013161841-フォーマット保存暗号化装置、方法およびプログラム、復号化装置、方法およびプログラム 図000023
< >
(19)【発行国】日本国特許庁(JP)
【公報種別】再公表特許(A1)
(11)【国際公開番号】WO/0
(43)【国際公開日】2013年10月31日
【発行日】2015年12月24日
(54)【発明の名称】フォーマット保存暗号化装置、方法およびプログラム、復号化装置、方法およびプログラム
(51)【国際特許分類】
   H04L 9/06 20060101AFI20151201BHJP
   G09C 1/00 20060101ALI20151201BHJP
【FI】
   H04L9/00 611Z
   G09C1/00 610A
【審査請求】未請求
【予備審査請求】未請求
【全頁数】29
【出願番号】特願2014-512627(P2014-512627)
(21)【国際出願番号】PCT/0/0
(22)【国際出願日】2013年4月24日
(31)【優先権主張番号】特願2012-98403(P2012-98403)
(32)【優先日】2012年4月24日
(33)【優先権主張国】JP
(81)【指定国】 AP(BW,GH,GM,KE,LR,LS,MW,MZ,NA,RW,SD,SL,SZ,TZ,UG,ZM,ZW),EA(AM,AZ,BY,KG,KZ,RU,TJ,TM),EP(AL,AT,BE,BG,CH,CY,CZ,DE,DK,EE,ES,FI,FR,GB,GR,HR,HU,IE,IS,IT,LT,LU,LV,MC,MK,MT,NL,NO,PL,PT,RO,RS,SE,SI,SK,SM,TR),OA(BF,BJ,CF,CG,CI,CM,GA,GN,GQ,GW,ML,MR,NE,SN,TD,TG),AE,AG,AL,AM,AO,AT,AU,AZ,BA,BB,BG,BH,BN,BR,BW,BY,BZ,CA,CH,CL,CN,CO,CR,CU,CZ,DE,DK,DM,DO,DZ,EC,EE,EG,ES,FI,GB,GD,GE,GH,GM,GT,HN,HR,HU,ID,IL,IN,IS,JP,KE,KG,KM,KN,KP,KR,KZ,LA,LC,LK,LR,LS,LT,LU,LY,MA,MD,ME,MG,MK,MN,MW,MX,MY,MZ,NA,NG,NI,NO,NZ,OM,PA,PE,PG,PH,PL,PT,QA,RO,RS,RU,RW,SC,SD,SE,SG,SK,SL,SM,ST,SV,SY,TH,TJ,TM,TN,TR,TT,TZ,UA,UG,US,UZ,VC
(71)【出願人】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100109313
【弁理士】
【氏名又は名称】机 昌彦
(74)【代理人】
【識別番号】100124154
【弁理士】
【氏名又は名称】下坂 直樹
(72)【発明者】
【氏名】峯松 一彦
【テーマコード(参考)】
5J104
【Fターム(参考)】
5J104AA01
5J104AA18
5J104JA03
5J104JA09
5J104NA02
5J104NA37
(57)【要約】
【課題】データ形式を保ったままで効率的かつ安全な暗号化/復号化を可能とするフォーマット保存暗号化装置等を提供する。
【解決手段】暗号化装置10が、平文のうちの特定の1桁を、平文の特定の1桁を除いた残りの各桁の数値、および平文と同時に入力された外部ツイークを用いて暗号化する単位ブロックツイーカブル暗号化手段101と、平文の暗号化された特定の1桁を含む各桁に対して予め決められた規則によって桁単位の置換を行うブロック置換手段102と、この単位ブロックツイーカブル暗号化手段およびブロック置換手段による処理を予め決められた回数繰り返させるカウンタ更新手段103とを備える。復号化装置20は、暗号化装置10と逆の処理を行う。
【選択図】図1
【特許請求の範囲】
【請求項1】
入力された平文を暗号化して前記平文と同一のデータ形式の暗号文を出力するフォーマット保存暗号化装置であって、
前記平文のうちの特定の1桁を、前記平文の前記特定の1桁を除いた残りの各桁の数値、および前記平文と同時に入力された外部ツイークを用いて暗号化する単位ブロックツイーカブル暗号化手段と、
前記平文の前記暗号化された前記特定の1桁を含む各桁に対して予め決められた規則によって桁単位の置換を行うブロック置換手段と、
この単位ブロックツイーカブル暗号化手段およびブロック置換手段による処理を予め決められた回数繰り返させる暗号カウンタ更新手段と
を備えることを特徴とするフォーマット保存暗号化装置。
【請求項2】
前記単位ブロックツイーカブル暗号化手段が、
予め記憶された暗号鍵によって、前記平文の前記特定の1桁を除いた残りの各桁と前記外部ツイークとを結合した数値を暗号化して特定のビット数の出力値を出力するAES暗号化部と、
前記AES暗号化部の出力値を用いて一時的暗号鍵を生成する一時的暗号鍵生成部と、
前記一時的暗号鍵を利用して前記平文の前記特定の1桁を暗号化するブロック暗号化部と
を備えることを特徴とする、請求項1に記載のフォーマット保存暗号化装置。
【請求項3】
前記ブロック暗号化部が、前記平文の前記特定の1桁をクヌースシャッフル(Knuth Shuffle)を用いて置換することによって暗号化するものであることを特徴とする、請求項2に記載のフォーマット保存暗号化装置。
【請求項4】
前記暗号化装置の前記ブロック置換手段が、前記平文の左端の1桁を除いた残りの各桁を1桁ずつ繰り上げ、前記平文の前記左端の1桁を右端とするものであることを特徴とする、請求項1に記載のフォーマット保存暗号化装置。
【請求項5】
請求項1ないし4のうちいずれか1項に記載のフォーマット保存暗号化装置から出力された暗号文を復号化して、前記暗号文と同一のデータ形式の平文を出力するフォーマット保存復号化装置であって、
前記暗号文の、前記単位ブロックツイーカブル暗号化手段と同一位置の特定の1桁を、前記暗号文の前記特定の1桁を除いた残りの各桁の数値、および前記暗号文と同時に入力された前記暗号化装置と同一の外部ツイークを用いて復号化する単位ブロックツイーカブル復号化手段と、
前記暗号文の前記復号化された前記特定の1桁を含む各桁に対して前記ブロック置換手段とは逆の規則によって桁単位の置換を行うブロック逆置換手段と、
この単位ブロックツイーカブル復号化手段およびブロック逆置換手段による処理を前記暗号カウンタ更新手段と同一の回数繰り返させる復号カウンタ更新手段と
を備えることを特徴とするフォーマット保存復号化装置。
【請求項6】
前記単位ブロックツイーカブル復号化手段が、
予め記憶された復号鍵によって、前記暗号文の前記特定の1桁を除いた残りの各桁と前記外部ツイークとを結合した数値を復号化して特定のビット数の出力値を出力するAES復号化部と、
前記AES復号化部の出力値を用いて一時的復号鍵を生成する一時的復号鍵生成部と、
前記一時的復号鍵を利用して前記暗号文の前記特定の1桁を復号化するブロック復号化部と
を備えることを特徴とする、請求項5に記載のフォーマット保存復号化装置。
【請求項7】
入力された平文を暗号化して前記平文と同一のデータ形式の暗号文を出力するフォーマット保存暗号化装置にあって、
前記平文のうちの特定の1桁を、前記平文の前記特定の1桁を除いた残りの各桁の数値、および前記平文と同時に入力された外部ツイークを用いて単位ブロックツイーカブル暗号化手段が暗号化し、
前記平文の前記暗号化された前記特定の1桁を含む各桁に対して予め決められた規則によってブロック置換手段が桁単位の置換を行い、
この前記平文のうちの特定の1桁の暗号化および前記桁単位の置換の処理を暗号カウンタ更新手段が予め決められた回数繰り返させる
ことを特徴とするフォーマット保存暗号化方法。
【請求項8】
入力された暗号文を復号化して前記暗号文と同一のデータ形式の平文を出力するフォーマット保存復号化装置にあって、
前記暗号文のうちの特定の1桁を、前記暗号文の前記特定の1桁を除いた残りの各桁の数値、および前記暗号文と同時に入力された外部ツイークを用いて単位ブロックツイーカブル復号化手段が復号化し、
前記暗号文の前記復号化された前記特定の1桁を含む各桁に対して予め決められた規則によってブロック逆置換手段が桁単位の逆置換を行い、
この前記暗号文の特定の1桁の復号化および前記桁単位の逆置換の処理を復号カウンタ更新手段が予め決められた回数繰り返させる
ことを特徴とするフォーマット保存復号化方法。
【請求項9】
入力された平文を暗号化して前記平文と同一のデータ形式の暗号文を出力するフォーマット保存暗号化装置にあって、
前記フォーマット保存暗号化装置が備えるコンピュータに、
前記平文のうちの特定の1桁を、前記平文の前記特定の1桁を除いた残りの各桁の数値、および前記平文と同時に入力された外部ツイークを用いて暗号化する手順、
前記平文の前記暗号化された前記特定の1桁を含む各桁に対して予め決められた規則によって桁単位の置換を行う手順、
およびこの前記平文のうちの特定の1桁の暗号化および前記桁単位の置換の処理を予め決められた回数繰り返させる手順
を実行させることを特徴とするフォーマット保存暗号化プログラム。
【請求項10】
入力された暗号文を復号化して前記暗号文と同一のデータ形式の平文を出力するフォーマット保存復号化装置にあって、
前記フォーマット保存復号化装置が備えるコンピュータに、
前記暗号文のうちの特定の1桁を、前記暗号文の前記特定の1桁を除いた残りの各桁の数値、および前記暗号文と同時に入力された外部ツイークを用いて復号化する手順、
前記暗号文の前記復号化された前記特定の1桁を含む各桁に対して予め決められた規則によって桁単位の逆置換を行う手順、
およびこの前記暗号文の特定の1桁の復号化および前記桁単位の逆置換の処理を予め決められた回数繰り返させる手順
を実行させることを特徴とするフォーマット保存復号化プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明はフォーマット保存暗号化装置、方法およびプログラム、復号化装置、方法およびプログラムに関し、特にメッセージ空間が非バイナリ空間、または通常のブロック暗号のブロック長より短いバイナリ空間である場合にも適用可能なフォーマット保存暗号化装置等に関する。
【背景技術】
【0002】
ほとんど全ての企業は、コンピュータシステム上に業務で使用する大量の機密データを保持している。これらのデータは、業務上重要なデータであり、また個人情報保護という観点からも、外部に対して漏洩することは絶対にあってはならない。このため、新規に構築される業務システムについてはデータの暗号化が必須であるのはもちろんのこと、暗号化に対応していない既存の業務システムに対しても、データを暗号化して保持する機能を付加することが求められている。
【0003】
しかしながら、既存の業務システムでは、データ形式が予め定められている場合が多い。たとえばクレジットカード番号は、保護する必要性の高い重大な個人情報の最たる例の一つであるが、「10進数16桁」というデータ形式が予め定められている。既存の業務システムでは、その形式以外のデータはエラーとされて扱うことができない場合が多くある。電話番号、郵便番号、預金口座番号なども、これと同様である。
【0004】
そのため、平文とこれを暗号化した暗号文とでデータ形式が一致する暗号化方式が必要とされている。これをフォーマット保存暗号化という。同様に、暗号文と平文とでデータ形式が一致する復号化方式を、フォーマット保存復号化という。フォーマット保存暗号化/復号化を利用すれば、既存の業務システムに対して、変更を最小限に抑えつつデータの暗号化/復号化機能を付加することができる。
【0005】
通常の暗号化方式(ブロック暗号)では、メッセージ(平文と暗号文)は同一フォーマットのバイナリ(2進数)空間で表現される。たとえば、いずれも公知の暗号化方式であるDESのメッセージは64ビット、AESのメッセージは128ビットである。これに対してフォーマット保存暗号化では、たとえば「64ビット以下のバイナリ空間」や「非バイナリ空間(たとえば10進数や、2進数と10進数の組み合わせなど)」のようなデータを取り扱う。
【0006】
このようなフォーマット保存暗号化について、たとえば以下のような各技術文献がある。非特許文献1は、フォーマット保存暗号化(Format-Preserving Encryption)の名称を世界的に広めた論文である。非特許文献2には、原理的にあらゆるメッセージ空間に対して安全なブロック暗号を実現しうる方式とされるクヌースシャッフル(Knuth Shuffle)、別名フィッシャー−イェーツシャッフル(Fisher-Yates Shuffle)が記載されているが、その計算量とメモリ量はメッセージ空間の線形オーダとなるため処理が膨大になりやすく、メッセージ空間のサイズが10000を越える場合には適用困難である。
【0007】
非特許文献3には、メッセージが10進数空間の場合に特化したブロック暗号について記載されている。非特許文献4には、非特許文献3の暗号方式に対する攻撃について記載されている。
【0008】
非特許文献5には、nビットのブロック暗号を用いてnビット以下のバイナリ空間や非バイナリ空間のブロック暗号を実現する方法が記載されている。この非特許文献5に記載されている方法は、ターゲットとなるメッセージ空間の大きさが2nよりわずかに小さいときには効率よくかつ安全であるが、2nよりある程度小さくなると、効率もしくは安全性のいずれかが極端に低下するという問題がある。
【0009】
非特許文献6にも、非特許文献5と同様に、ファイステル(Feistel)型置換と呼ばれる置換処理をブロック暗号を用いて実現し、この置換処理を所定の回数平文に対して繰り返すことで暗号化を行うという方式が記載されている。また前述の非特許文献1にも、これと同様の方式が記載されている。
【0010】
図6は、非特許文献6に記載の暗号化方式の概要について示す説明図である。図6では、置換処理1サイクル分の処理について示している。AES暗号化部901は、Xm+1,…,Xdと、ラウンドカウンタctr,外部ツイークgt,平文桁数dを入力値として、これらをAES暗号方式によって暗号化した値(128ビット)を出力する。剰余部902は、AES暗号化部901からの出力値をa^m(aのm乗)で除算した余りを出力する。加算部903は、X1,…,Xmと、剰余部902からの出力値を加算した値を出力する。そして、加算部903からの出力とXm+1,…,Xdとを入れ替えて、1サイクル分の置換処理が終了する。これを所定の回数繰り返す。
【0011】
非特許文献7には、暗号化と復号にツイーク(tweak)と呼ばれる補助パラメータを用いるブロック暗号方式であるツイーカブルブロック暗号について記載されている。非特許文献8〜9には、このツイーカブルブロック暗号を利用して実現される様々なメッセージ空間でのブロック暗号について記載されている。これらの方式は、ツイーカブルブロック暗号が安全であれば、比較的効率よく高い安全性を保証することが可能である。
【0012】
また、nビットブロックのツイーカブルブロック暗号をnビットブロック暗号から実現する方法についても記載されている。従って、非特許文献8に記載の方式で、nビットブロック暗号から2nビットブロック暗号を作る方式を得ることができ、また非特許文献9に記載の方式で、nビットブロック暗号からn+1ビット以上のブロック暗号を作る方式を得ることができる。
【0013】
これら非特許文献8〜9に記載の方式によれば、パラメータによっては、非特許文献1および6などのようなファイステル型置換とブロック暗号を組み合わせた方式よりも、効率よく高い安全性をもったフォーマット保存暗号化を実現することが可能である。非特許文献10〜13については後述する。
【0014】
特許文献1には、データベースに格納されたデータをトラフィック解析から保護するという技術が記載されている。特許文献2には、データベースに格納されたデータのキャラクターセットを変更して難読化するという技術が記載されている。特許文献3〜4には、外部ツイーク(調整値)を利用したブロック暗号化方式が記載されており、上記非特許文献8〜9に対応する特許出願である。特許文献5には、MPEG4ファイルのフォーマットを維持しつつ暗号化を行うという技術が記載されている。
【先行技術文献】
【特許文献】
【0015】
【特許文献1】特開2009−048636号公報
【特許文献2】特開2010−129089号公報
【特許文献3】再特WO2008018303号公報
【特許文献4】再特WO2009128370号公報
【特許文献5】特表2007−518294号公報
【非特許文献】
【0016】
【非特許文献1】Mihir Bellare, Thomas Ristenpart, Phillip Rogaway, Till Stegers: Format-Preserving Encryption. SAC 2009, pp. 295-312.
【非特許文献2】Fisher-Yates shuffle.、インターネット<URL:http://en.wikipedia.org/wiki/Fisher%E2%80%93Yates_shuffle>
【非特許文献3】L. Granboulan, E. Levieil, and G. Piret. Pseudorandom permutation families over Abelian groups. In Fast Software Encryption 2006, volume 4047 of LNCS, pages 57-77. Springer-Verlag, 2006.
【非特許文献4】Thomas Baigneres, Jacques Stern, Serge Vaudenay: Linear Cryptanalysis of Non Binary Ciphers. Selected Areas in Cryptography 2007: 184-211
【非特許文献5】Ciphers with Arbitrary Finite Domains. John Black and Phillip Rogaway. CT-RSA 2002, The Cryptographer's Track at the RSA Conference, 2002, San Jose, CA, USA, February 18-22, 2002, Proceedings. Lecture Notes in Computer Science 2271, pp. 114-130.
【非特許文献6】M. Bellare, P. Rogaway, T.Spies. Format-preserving Feistel-based Encryption Mode, NIST Submission、インターネット<URL:http://csrc.nist.gov/groups/ST/toolkit/BCM/documents/proposedmodes/ffx/ffx-spec.pdf>
【非特許文献7】M. Liskov, R. Rivest, D. Wagner, Tweakable Block Ciphers, Advances in Cryptology - CRYPTO 2002, 22nd Annual International Cryptology Conference, Santa Barbara, California, USA, August 18-22, 2002, Proceedings. Lecture Notes in Computer Science 2442 Springer 2002, pp. 31-46.
【非特許文献8】Kazuhiko Minematsu: Beyond-Birthday-Bound Security Based on Tweakable Block Cipher. Fast Software Encryption, 16th International Workshop, FSE 2009, Leuven, Belgium, February 22-25, 2009, Revised Selected Papers. Lecture Notes in Computer Science 5665, pp.308-326.
【非特許文献9】Kazuhiko Minematsu, Tetsu Iwata: Building Blockcipher from Tweakable Blockcipher: Extending FSE 2009 Proposal. Liqun Chen (Ed.): Cryptography and Coding - 13th IMA International Conference, IMACC 2011, Oxford, UK, December 12-15, 2011. Proceedings. Lecture Notes in Computer Science 7089 Springer 2011, pp. 391-412.
【非特許文献10】L. Granboulan and T. Pornin. Perfect Block Ciphers with Small Blocks. Alex Biryukov (Ed.): Fast Software Encryption, 14th International Workshop, FSE 2007, Luxembourg, Luxembourg, March 26-28, 2007, Revised Selected Papers. Lecture Notes in Computer Science 4593 Springer 2007, pp. 452-465.
【非特許文献11】KATAN & amp; KTANTAN - A Family of Small and Efficient Hardware-Oriented Block Ciphers. C. D. Canni`ere and O. Dunkelman and M. Knezevi´c, Christophe Clavier, Kris Gaj (Eds.): Cryptographic Hardware and Embedded Systems - CHES 2009, 11th International Workshop, Lausanne, Switzerland, September 6-9, 2009, Proceedings. Lecture Notes in Computer Science 5747 Springer 2009. pp. 272-288.?
【非特許文献12】Rivest, R. L. (1994). The RC5 Encryption Algorithm. In the Proceedings of the Second International Workshop on Fast Software Encryption (FSE) 1994, pp.86-96.
【非特許文献13】SEA: a Scalable Encryption Algorithm for Small Embedded Applications F.-X. Standaert, G. Piret, N. Gershenfeld, and J.-J Quisquater. in the Proceedings of CARDIS 2006, LNCS, vol 3928, pp 222-236, Tarragona, Spain, April 2006.
【発明の概要】
【発明が解決しようとする課題】
【0017】
前述の通り、非特許文献8〜9(および特許文献3〜4)に記載の方式によれば、効率よく高い安全性をもったフォーマット保存暗号化を実現することは可能である。しかしながら、これらの方式は、nビットブロック暗号を用いてnビットより大きいブロックサイズを実現するというものである。従って、全てのメッセージ空間に対して適用可能なものではない。
【0018】
特に、メッセージ空間が10進数である場合や、ビットサイズがnビット(典型的にはAESの128ビット)より小さい場合には適用できない。非特許文献5〜6に記載の方式は10進数のメッセージ空間に対しても適用可能であるが、前述のように効率や安全性の面で問題がある。特許文献1〜5や非特許文献1〜13に記載のその他の技術も、この問題を解決するものではない。
【0019】
本発明の目的は、メッセージ空間が非バイナリ空間、または通常のブロック暗号のブロック長より短いバイナリ空間である場合においても、入力の長さやキャラクタ集合などのフォーマットを保ったまま効率的かつ安全な暗号化/復号化を可能とするフォーマット保存暗号化装置、方法およびプログラム、復号化装置、方法およびプログラムを提供することにある。
【課題を解決するための手段】
【0020】
上記目的を達成するため、本発明に係るフォーマット保存暗号化装置は、入力された平文を暗号化して平文と同一のデータ形式の暗号文を出力するフォーマット保存暗号化装置であって、平文のうちの特定の1桁を、平文の特定の1桁を除いた残りの各桁の数値、および平文と同時に入力された外部ツイークを用いて暗号化する単位ブロックツイーカブル暗号化手段と、平文の暗号化された特定の1桁を含む各桁に対して予め決められた規則によって桁単位の置換を行うブロック置換手段と、この単位ブロックツイーカブル暗号化手段およびブロック置換手段による処理を予め決められた回数繰り返させる暗号カウンタ更新手段とを備えることを特徴とする。
【0021】
上記目的を達成するため、本発明に係るフォーマット保存復号化装置は、請求項1ないし4のうちいずれか1項に記載のフォーマット保存暗号化装置から出力された暗号文を復号化して、暗号文と同一のデータ形式の平文を出力するフォーマット保存復号化装置であって、暗号文の、単位ブロックツイーカブル暗号化手段と同一位置の特定の1桁を、暗号文の特定の1桁を除いた残りの各桁の数値、および暗号文と同時に入力された暗号化装置と同一の外部ツイークを用いて復号化する単位ブロックツイーカブル復号化手段と、暗号文の復号化された特定の1桁を含む各桁に対してブロック置換手段とは逆の規則によって桁単位の置換を行うブロック逆置換手段と、この単位ブロックツイーカブル復号化手段およびブロック逆置換手段による処理を暗号カウンタ更新手段と同一の回数繰り返させる復号カウンタ更新手段とを備えることを特徴とする。
【0022】
上記目的を達成するため、本発明に係るフォーマット保存暗号化方法は、入力された平文を暗号化して平文と同一のデータ形式の暗号文を出力するフォーマット保存暗号化装置にあって、平文の左端の1桁を、平文の左端の1桁を除いた残りの各桁の数値、および平文と同時に入力された外部ツイークを用いて単位ブロックツイーカブル暗号化手段が暗号化し、平文の左端の1桁を除いた残りの各桁、および暗号化された平文の左端の1桁に対して予め決められた規則によってブロック置換手段が桁単位の置換を行い、この平文の左端の1桁の暗号化および桁単位の置換の処理をカウンタ更新手段が予め決められた回数繰り返させることを特徴とする。
【0023】
上記目的を達成するため、本発明に係るフォーマット保存復号化方法は、入力された暗号文を復号化して暗号文と同一のデータ形式の平文を出力するフォーマット保存復号化装置にあって、暗号文の左端の1桁を、暗号文の左端の1桁を除いた残りの各桁の数値、および暗号文と同時に入力された外部ツイークを用いて単位ブロックツイーカブル復号化手段が復号化し、暗号文の左端の1桁を除いた残りの各桁、および復号化された暗号文の左端の1桁に対して予め決められた規則によってブロック逆置換手段が桁単位の逆置換を行い、この暗号文の左端の1桁の復号化および桁単位の逆置換の処理をカウンタ更新手段が予め決められた回数繰り返させることを特徴とする。
【0024】
上記目的を達成するため、本発明に係るフォーマット保存暗号化プログラムは、入力された平文を暗号化して平文と同一のデータ形式の暗号文を出力するフォーマット保存暗号化装置にあって、フォーマット保存暗号化装置が備えるコンピュータに、平文の左端の1桁を、平文の左端の1桁を除いた残りの各桁の数値、および平文と同時に入力された外部ツイークを用いて暗号化する手順、平文の左端の1桁を除いた残りの各桁、および暗号化された平文の左端の1桁に対して予め決められた規則によって桁単位の置換を行う手順、およびこの平文の左端の1桁の暗号化および桁単位の置換の処理を予め決められた回数繰り返させる手順を実行させることを特徴とする。
【0025】
上記目的を達成するため、本発明に係るフォーマット保存復号化プログラムは、入力された暗号文を復号化して暗号文と同一のデータ形式の平文を出力するフォーマット保存復号化装置にあって、フォーマット保存復号化装置が備えるコンピュータに、暗号文の左端の1桁を、暗号文の左端の1桁を除いた残りの各桁の数値、および暗号文と同時に入力された外部ツイークを用いて復号化する手順、暗号文の左端の1桁を除いた残りの各桁、および復号化された暗号文の左端の1桁に対して予め決められた規則によって桁単位の逆置換を行う手順、およびこの暗号文の左端の1桁の復号化および桁単位の逆置換の処理を予め決められた回数繰り返させる手順を実行させることを特徴とする。
【発明の効果】
【0026】
本発明は、上述したように、平文の特定の1桁を暗号化してから各桁を入れ替える処理を繰り返すことによって暗号化を行い、この逆の処理で復号化を行うように構成したので、桁数に関わらず、また2進数以外であっても、効率的かつ安全な暗号化/復号化の処理が可能となる。
【0027】
これによって、メッセージ空間が非バイナリ空間、または通常のブロック暗号のブロック長より短いバイナリ空間である場合においても、入力の長さやキャラクタ集合などのフォーマットを保ったまま効率的かつ安全な暗号化/復号化が可能であるという優れた特徴を持つフォーマット保存暗号化装置、方法およびプログラム、復号化装置、方法およびプログラムを提供することができる。
【図面の簡単な説明】
【0028】
図1】本発明の実施形態に係る暗号化システムの構成について示す説明図である。
図2図1に示した単位ブロックツイーカブル暗号化手段の、より詳細な構成について示す説明図である。
図3図1に示したブロック置換手段によって行われる処理について示す説明図である。
図4図1で示した暗号化装置の動作について示すフローチャートである。
図5図1で示した復号化装置の動作について示すフローチャートである。
図6】非特許文献6に記載の暗号化方式の概要について示す説明図である。
【発明を実施するための形態】
【0029】
(実施形態)
以下、本発明の実施形態の構成について添付図1に基づいて説明する。
最初に、本実施形態の基本的な内容について説明し、その後でより具体的な内容について説明する。
本実施形態に係るフォーマット保存暗号化装置(暗号化装置10)は、入力された平文を暗号化して平文と同一のデータ形式の暗号文を出力する暗号化装置である。
この暗号化装置10は、平文のうちの特定の1桁を、平文の特定の1桁を除いた残りの各桁の数値、および平文と同時に入力された外部ツイークを用いて暗号化する単位ブロックツイーカブル暗号化手段101と、平文の暗号化された特定の1桁を含む各桁に対して予め決められた規則によって桁単位の置換を行うブロック置換手段102と、この単位ブロックツイーカブル暗号化手段およびブロック置換手段による処理を予め決められた回数繰り返させる暗号カウンタ更新手段103とを備える。
【0030】
また、単位ブロックツイーカブル暗号化手段101は、予め記憶された暗号鍵によって、平文の特定の1桁を除いた残りの各桁と外部ツイークとを結合した数値を暗号化して特定のビット数の出力値を出力するAES暗号化部101aと、AES暗号化部の出力値を用いて一時的暗号鍵を生成する一時的暗号鍵生成部101bと、一時的暗号鍵を利用して平文の特定の1桁を暗号化するブロック暗号化部101cとを備える。
【0031】
ここで、ブロック暗号化部101cが、平文の特定の1桁をクヌースシャッフル(Knuth Shuffle)を用いて置換することによって暗号化するものである。そして、ブロック置換手段102が、平文の左端の1桁を除いた残りの各桁を1桁ずつ繰り上げ、平文の左端の1桁を右端とするものである。
【0032】
本実施形態に係るフォーマット保存復号化装置(復号化装置20)は、暗号化装置10から出力された暗号文を復号化して、暗号文と同一のデータ形式の平文を出力する復号化装置である。
この復号化装置20は、暗号文の、単位ブロックツイーカブル暗号化手段101と同一位置の特定の1桁を、暗号文の特定の1桁を除いた残りの各桁の数値、および暗号文と同時に入力された暗号化装置と同一の外部ツイークを用いて復号化する単位ブロックツイーカブル復号化手段201と、暗号文の復号化された特定の1桁を含む各桁に対してブロック置換手段102とは逆の規則によって桁単位の置換を行うブロック逆置換手段202と、この単位ブロックツイーカブル復号化手段およびブロック逆置換手段による処理を暗号カウンタ更新手段と同一の回数繰り返させる復号カウンタ更新手段203とを備える。
【0033】
また、単位ブロックツイーカブル復号化手段201が、予め記憶された復号鍵によって、暗号文の特定の1桁を除いた残りの各桁と外部ツイークとを結合した数値を復号化して特定のビット数の出力値を出力するAES復号化部と、AES復号化部の出力値を用いて一時的復号鍵を生成する一時的復号鍵生成部と、一時的復号鍵を利用して暗号文の特定の1桁を復号化するブロック復号化部とを備える。
【0034】
この構成を備えることにより、暗号化装置10および復号化装置20は、メッセージ空間が非バイナリ空間、または通常のブロック暗号のブロック長より短いバイナリ空間である場合においても、入力の長さやキャラクタ集合などのフォーマットを保ったまま効率的かつ安全な暗号化/復号化が可能となる。
以下、これをより詳細に説明する。
【0035】
図1は、本発明の実施形態に係る暗号化システム1の構成について示す説明図である。暗号化システム1は、暗号化装置10と復号化装置20とによって構成される。暗号化装置10は、入力された平文を暗号化して、暗号文を出力する。復号化装置20は、入力された暗号文を復号化して、平文を出力する。
【0036】
暗号化装置10は、一般的なコンピュータ装置としての構成を備える。即ち、クライアント端末10は、コンピュータプログラムを実行する主体となるプロセッサ11と、データを記憶する記憶手段12と、ユーザからの操作を受け付ける(典型的にはキーボードなどの)入力手段13と、ユーザに処理結果を提示する(典型的にはディスプレイやプリンタなどの)出力手段14とを備える。
【0037】
復号化装置20も同様に、一般的なコンピュータ装置としての構成を備える。即ち、暗号化装置10と同様のプロセッサ21と、記憶手段22と、入力手段23と、出力手段24とを備える。これらの構成および動作については後述する。
【0038】
(暗号化装置の構成)
プロセッサ11は、暗号化プログラムが動作することにより、後述の単位ブロックツイーカブル暗号化手段101、ブロック置換手段102、およびカウンタ更新手段103の各々として動作する。また記憶手段12には、暗号鍵111が予め記憶されている。
【0039】
入力手段13から、暗号化の対象となるa進数d桁の平文と、外部ツイークと、ラウンドカウンタの初期値=1が入力される。ここでa(i)とメッセージ空間MSGには、以下の数1が成立する。即ち、メッセージ空間MSGはa進数d桁の空間である。
【0040】
【数1】
【0041】
外部ツイークは、必要に応じてユーザが付加することができる。たとえば平文の桁数dの2進数表現、使用している秘密鍵のID、処理日時、暗号化装置10のシリアル番号などを外部ツイークとして利用することができる。ただし、出力された暗号文を復号化する際に、暗号化処理時に使用した外部ツイークが一意に求められることが必要となる。この条件が満たせない場合には、外部ツイークを付加しないものとする。
【0042】
単位ブロックツイーカブル暗号化手段101は、以上で入力されたa進数d桁のX=(X[1],…,X[d])、外部ツイーク、およびラウンドカウンタを入力として、X[1]を暗号化する。X[1]はa進数1桁の数字を表す。ラウンドカウンタの値が初期値1である場合には、上記Xは平文に相当する。X[1]の暗号化には、以下の数2に示す、a進数1桁をブロックとしたツイーカブルブロック暗号の暗号化関数TEを用いる。ここでMは平文、Kは暗号鍵111、Tはツイークを表す。MおよびCの取りうる空間は、いずれもa進数1桁である。
【0043】
【数2】
【0044】
より具体的には、単位ブロックツイーカブル暗号化手段101による暗号化は、外部ツイークをgt、ラウンドカウンタをctrとすると、以下の数3に示す演算を行った後、(V,X[2],…,X[d])を出力値とする。
【0045】
【数3】
【0046】
即ち、単位ブロックツイーカブル暗号化手段101は、外部ツイークgt、ラウンドカウンタctr、および入力値の右d−1桁(X[2],…,X[d])をTEのツイークとしてX[1]を暗号化した結果の出力値Vを(X[2],…,X[d])と連結し、これを出力値とする。
【0047】
このTEは、一般的には以下の数4に示すように表すことができる。ここで、KeyGenは秘密鍵Kと(ctr、gt、X[2],…,X[d])を入力値として一時的鍵DKを生成する関数であり、BlockEncはこの一時的鍵DKを利用してX[1]を暗号化する関数である。
【0048】
【数4】
【0049】
(AES暗号方式による単位ブロックツイーカブル暗号化手段)
以下、公知のAES(Advanced Encryption Standard)暗号方式を利用して、a=10(即ち10進数)であり、ラウンドカウンタ、外部ツイーク、X[1],…,X[d−1]を連結した系列が128ビット以下で表現可能な場合について、上記KeyGenおよびBlockEncの実際の処理について考える。
【0050】
図2は、図1に示した単位ブロックツイーカブル暗号化手段101の、より詳細な構成について示す説明図である。単位ブロックツイーカブル暗号化手段101は、鍵K(暗号鍵111)によって(ctr、gt、X[2],…,X[d])をAES暗号方式によって暗号化するAES暗号化部101aと、AES暗号化部101aの128ビット出力を用いて一時的鍵DKを生成する一時的鍵生成部101bと、一時的鍵生成部101bから出力された一時的鍵DKを利用してX[1]を暗号化するブロック暗号化部101cによって構成される。AES暗号化部101aと一時的鍵生成部101bとが上記でいうKeyGenに該当し、ブロック暗号化部101cがBlockEncに該当する。
【0051】
KeyGenは、AESの128ビット出力を用いて、以下の数5に示すDKを生成する関数である。ただし、i=0,…,9について、K10Key[i]は非負整数であり、かつ整数集合{0,…,9}上でほぼ一様に分布することが求められる。K10Key[0]は常に0である。
【0052】
【数5】
【0053】
AESの128ビット出力が一様乱数であると仮定すれば、上記のような分布のK10Key[i]は、以下の数6に示す処理によって生成することが可能である。ここで、AESの128ビット出力が実際に使うのは出力の前半の64ビット、および最後尾の8ビットであるので、これらを各々B,Wとする。また、いずれも正の整数であるaおよびbについてa/bをa÷b、Wのiビット目をW(i)、第i〜j(i-th to j-th)ビット系列をW(i,j)とする。そして、バイナリ系列Bに対する数6の最初の演算は、Bを0〜2^64−1までの整数とみなした上での剰余算である。本明細書では、数式以外の行では「AのB乗」を「A^B」と表す。
【0054】
【数6】
【0055】
ここで、βiはV mod 81の3進数展開、γjはV mod 25の5進数展開に相当する。このことと、14175=(3^4)×(5^2)×7であることと、中国人剰余定理(Chinese Reminder Theorem)とより、以下の数7に示すVと(β1,…,β4,γ1,γ2,δ)は一対一対応となる。かつWは、全ての28通りの値をとりうるので、(V,W)と(K10Key[0],…,K10Key[9])は一対一対応となる。
【0056】
【数7】
【0057】
このことより、(V,W)が数7に示す整数集合Z上で一様乱数であるなら、K10Key[i]の各要素は独立な一様乱数となる。ここで、AESがランダム関数であるなら、BおよびWは独立した一様乱数であり、Vと整数集合Z上の一様乱数との平均距離は、以下の数8に示すように計算される。即ち、K10Keyは実用上問題ないほど一様乱数に近い。
【0058】
【数8】
【0059】
次に、ブロック暗号化部101c、即ちBlockEncの実際の処理について考える。BlockEncは、上記のKeyGenが出力したDK=(K10Key[0],…,K10Key[9])を鍵として、Z10=整数集合{0,…,9}上での一様なランダム置換を実現する。x∈Z10を入力、DK=(K10Key[0],…,K10Key[9])を鍵とすると、BlockEncとしては以下の数9に示すクヌースシャッフル(Knuth Shuffle)、別名フィッシャー−イェーツシャッフル(Fisher-Yates Shuffle)と呼ばれる方法(非特許文献2)を利用することができる。
【0060】
【数9】
【0061】
以上、a=10(即ち10進数)の場合のKeyGenおよびBlockEncをAESによって構成する方法について説明した。aが10以外の値である場合には、DK=(K10Key[0],…,K10Key[a−1])とし、K10Key[i]が整数集合{0,…,i}上でほぼ一様となるようにKeyGenを構成し、さらに数9の9をa−1に置換して実行すればよい。
【0062】
KeyGenは、数6のように定義して実現することも可能ではあるが、よりシンプルには、たとえばAES出力の十分長い所定長の部分系列Seq[i]を利用して、以下の数10のように表すこともできる。
【0063】
【数10】
【0064】
(ブロック置換手段)
図3は、図1に示したブロック置換手段102によって行われる処理について示す説明図である。ブロック置換手段102は、d個のキャラクタ単位の置換(シャッフル)処理を行う。この置換処理は、例えば以下の数11に示す左巡回シフトを用いてもよいし、これと逆方向に各データを置換する右巡回シフトを用いてもよい。但し、入出力が全く同じになる置換(identity permutation)は、安全性の観点上、用いるべきではない。
【0065】
【数11】
【0066】
カウンタ更新手段103は、入力されたラウンドカウンタ値を、予め与えられた値rと比較し、ラウンドカウンタ値<rの場合には、このラウンドカウンタ値に1を加算し、ブロック置換手段102の出力であるa進数d桁の値を単位ブロックツイーカブル暗号化手段101に入力する。ラウンドカウンタ値=rの場合には、ブロック置換手段102の出力値を暗号文として出力手段14に出力する。
【0067】
ここで、ラウンドカウンタ値=rの場合のブロック置換手段102の動作は、暗号の安全性を左右するものではない。このため、ラウンドカウンタ値=rの場合には、直前の単位ブロックツイーカブル暗号化手段101の出力をそのまま暗号文として出力するようにしてもよい。この場合は即ち、ブロック置換手段102の出力値に逆置換を適用して出力することに相当する。
【0068】
図4は、図1で示した暗号化装置10の動作について示すフローチャートである。入力手段13を介して暗号化の対象となるa進数d桁の平文と、外部ツイークと、ラウンドカウンタの初期値=1とが入力されると(ステップS101)、単位ブロックツイーカブル暗号化手段101は、X[1]に対して数3に示す暗号化の演算を行い、その出力値VをX[2],…,X[d]と連結して(V,X[2],…,X[d])を出力する(ステップS102)。ここでX[1]は、以下の数12の関係が成立する。
【0069】
【数12】
【0070】
続いて、ブロック置換手段102が、単位ブロックツイーカブル暗号化手段101から出力された(V,X[2],…,X[d])に対して左巡回シフトもしくは右巡回シフトなどのようなブロック置換処理を行う(ステップS103)。
【0071】
そして、カウンタ更新手段103は、ラウンドカウンタ値を予め与えられた値rと等しいか否かを判断する(ステップS104)。ラウンドカウンタ値<rであれば、ラウンドカウンタ値を+1加算して(ステップS105)ステップS102に戻る。ラウンドカウンタ値=rであれば、ブロック置換手段102からの出力値を暗号文として出力手段14に出力して(ステップS106)処理を終了する。
【0072】
(復号化装置の構成)
図1に戻って、復号化装置20のプロセッサ21は、復号化プログラムが動作することにより、後述の単位ブロックツイーカブル復号化手段201、ブロック逆置換手段202、およびカウンタ更新手段203の各々として動作する。
【0073】
また記憶手段22には、復号鍵211が予め記憶されている。この復号鍵211は、暗号鍵111を用いて暗号化された暗号文を復号化できるものであれば何でもよい。たとえば、暗号鍵111が公開鍵暗号方式でいう秘密鍵であり、復号鍵211がこれに対応する公開鍵であってもよいし、これらの秘密鍵と公開鍵とを逆にしてもよい。また、暗号化装置10と復号化装置20とを同一のコンピュータとして、暗号鍵111と復号鍵211とを同一の共通鍵としてもよい。
【0074】
単位ブロックツイーカブル復号化手段201およびブロック逆置換手段202は各々、暗号化装置10の単位ブロックツイーカブル暗号化手段101およびブロック置換手段102の逆演算を行う。
【0075】
入力手段23から、復号化の対象となるa進数d桁の暗号文と、外部ツイークと、ラウンドカウンタの初期値=1が入力される。ここでa(i)とメッセージ空間MSGには、前述の数1と同一の関係が成立する。即ち、メッセージ空間MSGはa進数d桁の空間である。
【0076】
単位ブロックツイーカブル復号手段201は、単位ブロックツイーカブル暗号化手段101に対応した復号処理を行う。数2に示した暗号化関数TEに対応する復号化関数をTDとすると(各記号の定義は数2と同一)、復号化関数TDは以下の数13のように示される。この数13に示される関係が、全てのK,T,Cについて成立すればよい。
【0077】
【数13】
【0078】
図2で示したように、単位ブロックツイーカブル暗号化手段101の暗号化関数TEが前述の数4で示したKeyGenおよびBlockEncで構成されている場合、単位ブロックツイーカブル復号手段201の復号化関数TDもこれと同一のKeyGenと、クヌースシャッフルの逆置換を行うBlockDecとによって構成される。BlockDecの処理は、以下の数14によって示される。
【0079】
【数14】
【0080】
ブロック逆置換手段202は、d個のキャラクタ単位の置換(シャッフル)処理を行う。かつ、ブロック置換手段102の逆関数である。たとえば、ブロック置換手段102が左巡回シフトを用いている場合は、ブロック逆置換手段202は右巡回シフトを用いる。そして、カウンタ更新手段203の動作は、カウンタ更新手段103と同一である。
【0081】
図5は、図1で示した復号化装置20の動作について示すフローチャートである。入力手段23を介して復号化の対象となる(暗号化装置10から出力された)a進数d桁の平文と、外部ツイークと、ラウンドカウンタの初期値=1とが入力されると(ステップS201)、単位ブロックツイーカブル復号化手段201は、X[1]に対して図4のステップS101とは逆の復号化の演算を行い、その出力値VをX[2],…,X[d]と連結して(V,X[2],…,X[d])を出力する(ステップS202)。
【0082】
続いて、ブロック逆置換手段202が、単位ブロックツイーカブル復号化手段201から出力された(V,X[2],…,X[d])に対してブロック置換手段102とは逆方向のブロック置換処理(即ちブロック逆置換処理)を行う(ステップS203)。
【0083】
そして、カウンタ更新手段203は、ラウンドカウンタ値を予め与えられた値rと等しいか否かを判断する(ステップS204)。ラウンドカウンタ値<rであれば、ラウンドカウンタ値を+1加算して(ステップS205)ステップS202に戻る。ラウンドカウンタ値=rであれば、ブロック置換手段202からの出力値を平文として出力手段24に出力して(ステップS206)処理を終了する。
【0084】
(実施形態の全体的な動作)
次に、上記の実施形態の全体的な動作について説明する。本実施形態に係るフォーマット保存暗号化方法は、入力された平文を暗号化して平文と同一のデータ形式の暗号文を出力するフォーマット保存暗号化装置10にあって、平文の左端の1桁を、平文の左端の1桁を除いた残りの各桁の数値、および平文と同時に入力された外部ツイークを用いて単位ブロックツイーカブル暗号化手段が暗号化し(図4・ステップS102)、平文の左端の1桁を除いた残りの各桁、および暗号化された平文の左端の1桁に対して予め決められた規則によってブロック置換手段が桁単位の置換を行い(図4・ステップS103)、この平文の左端の1桁の暗号化および桁単位の置換の処理をカウンタ更新手段が予め決められた回数繰り返させる(図4・ステップS104〜105)。
【0085】
また、本実施形態に係るフォーマット保存復号化方法は、入力された暗号文を復号化して暗号文と同一のデータ形式の平文を出力するフォーマット保存復号化装置20にあって、暗号文の左端の1桁を、暗号文の左端の1桁を除いた残りの各桁の数値、および暗号文と同時に入力された外部ツイークを用いて単位ブロックツイーカブル復号化手段が復号化し(図5・ステップS202)、暗号文の左端の1桁を除いた残りの各桁、および復号化された暗号文の左端の1桁に対して予め決められた規則によってブロック逆置換手段が桁単位の逆置換を行い(図5・ステップS203)、この暗号文の左端の1桁の復号化および桁単位の逆置換の処理をカウンタ更新手段が予め決められた回数繰り返させる(図5・ステップS204〜205)。
【0086】
ここで、上記各動作ステップについては、これをコンピュータで実行可能にプログラム化し、これらを前記各ステップを直接実行するコンピュータであるフォーマット保存暗号化装置10および復号化装置20に実行させるようにしてもよい。本プログラムは、非一時的な記録媒体、例えば、DVD、CD、フラッシュメモリ等に記録されてもよい。その場合、本プログラムは、記録媒体からコンピュータによって読み出され、実行される。
この動作により、本実施形態は以下のような効果を奏する。
【0087】
本実施形態によれば、バイナリ空間に対して高い安全性をもって運用されているブロック暗号方式を利用して、桁数に関わらず、また2進数以外であっても、暗号化/復号化の処理が可能となる。
【0088】
上記で説明した方式では、d桁の平文のうち常に左端の1桁に対して残りのd−1桁をツイークの一部としたブロック暗号化を施しているため、常にラウンドごとの入力が左端の1桁へ影響を与える。このラウンド構造が逆関数を持つので、全体の処理もまた逆関数を持つ。即ち、数1で示したメッセージ空間MSGに対するブロック暗号を構成することができる。
【0089】
この方式の安全性については、部品として用いているa(i)進数1桁をブロックとしたツイーカブル暗号化(i=1,…,d)が安全であれば、これを2d回繰り返すことにより、|MSG|^(d/2)より十分小さい回数の選択平文攻撃に対して理論的に安全であることが証明される。さらにこの繰り返しを3d回に増やせば、|MSG|^(d/2)より十分小さい回数の選択暗号文攻撃に対しても理論的に安全であることが証明される。ここで、|MSG|はメッセージ空間MSGの大きさである。
【0090】
そして、a(i)進数1桁をブロックとしたツイーカブルブロック暗号は、a(i)が小さい場合、通常のブロック暗号とZa(i)上のクヌースシャッフルとの組み合わせにより、理論的に安全に構成することが可能となる。
【0091】
もちろん、単位ブロックツイーカブル暗号化手段101が、X[1]以外、即ち平文の1桁目以外の桁を暗号化するものであってもよく、またブロック置換手段102が左巡回シフトや右巡回シフト以外の法則によって各データを置換するものであってもよい。この場合も、単位ブロックツイーカブル復号化手段201およびブロック逆置換手段202は、各々単位ブロックツイーカブル暗号化手段101およびブロック置換手段102の逆処理を行うものである。
【0092】
(実施形態の拡張1)
以上で説明した実施形態には、その趣旨を改変しない範囲でさまざまな拡張が考えられる。以下、これについて説明する。
a進数d桁のメッセージ空間で、aの値がある程度以上大きい場合には、ブロック暗号化部101c、即ちBlockEncの実際の処理としてクヌースシャッフルを利用すると効率が悪くなるので、現実的ではない。
【0093】
このような場合には、たとえば非特許文献10に記載された方式を用いることができる。また、特にa=232,248などの場合には、非特許文献11に記載されたKATAN、非特許文献12に記載されたRC5、非特許文献13に記載されたSEAなどのような、既存のブロック暗号の中でブロックサイズの小さい方式を利用するとよい。
【0094】
これらの場合でも、ブロック暗号化部101c(BlockEnc)の処理は一時的鍵生成部101bからの出力(KeyGenから出力された一時的鍵DK)を利用することには変わりはないが、AES暗号化部101aからの出力をブロック暗号化部101cが要求する形式と分布の鍵に変換することが必要となる。非特許文献10,11,13に記載された方法では、いずれも鍵はバイナリ形式であればよいので、一時的鍵生成部101bはAES暗号化部101aからの出力を適切な長さに短縮してブロック暗号化部101cに出力するようにすればよい。
【0095】
また、ブロック暗号化部101cが128ビット以上の長さの鍵を必要とする場合には、一時的鍵生成部101bはAES暗号化部101aからの出力を公知技術であるOFB(Output Feedback Mode)によって拡張してブロック暗号化部101cに出力することもできる。さらに、外部ツイークの長さなどの条件から、ラウンドカウンタ、外部ツイーク、桁数dとX[1],…,X[d]を連結した系列が128ビット以上となる場合であれば、これも公知技術であるCBC−MACなどの一般的な暗号利用モードを利用して一時的鍵生成部101bの入力長を拡張することもできる。
【0096】
(実施形態の拡張2)
a進数d桁のメッセージ空間で、桁ごとのaが等しくない場合もあり得る。たとえば、背景技術の欄で述べた「2進数と10進数の組み合わせ」などのようなデータを扱う場合がこれに該当する。ここではi桁目(i=1,…,d)のaの値をa(i)と表す。第jラウンド(j=1,…,d)でX[1]のとりうる空間は以下の数15で示される。
【0097】
【数15】
【0098】
このような場合、第jラウンドでのブロック暗号化部101cの処理で用いられるクヌースシャッフルの配列サイズやブロック暗号のブロックサイズも、数15で示されるものと等しくなる。即ち、ラウンドごとにブロック暗号化部101cの処理は周期的に変わることとなるので、これに合わせてAES暗号化部101aおよび一時的鍵生成部101bの処理も周期的に変わる。
【0099】
また、桁ごとのa(i)が等しくない場合でも、ラウンド数rが桁数dの整数倍となるようにすれば、ブロック置換手段102およびカウンタ更新手段103の処理自体は上記実施形態と同じでよい。rラウンド分の処理が終わった後で平文と暗号文とでフォーマットが一致する必要があり、ラウンド数rが桁数dの整数倍であるという条件でブロック置換手段102が左(ないしは右)巡回シフトを行えばこの条件は満たされる。これ以外の場合には、ラウンドカウンタがrのときのみブロック置換手段102において別の置換を適用する必要がある。
【0100】
以上で説明した実施形態の拡張1および2のいずれについても、復号化装置20は上記の暗号化装置10の逆演算を行うものである。
【0101】
これまで本発明について図面に示した特定の実施形態をもって説明してきたが、本発明は図面に示した実施形態に限定されるものではなく、本発明の効果を奏する限り、これまで知られたいかなる構成であっても採用することができる。
【0102】
上述した各々の実施形態について、その新規な技術内容の要点をまとめると、以下のようになる。なお、上記実施形態の一部または全部は、新規な技術として以下のようにまとめられるが、本発明は必ずしもこれに限定されるものではない。
【0103】
(付記1) 入力された平文を暗号化して前記平文と同一のデータ形式の暗号文を出力するフォーマット保存暗号化装置であって、
前記平文のうちの特定の1桁を、前記平文の前記特定の1桁を除いた残りの各桁の数値、および前記平文と同時に入力された外部ツイークを用いて暗号化する単位ブロックツイーカブル暗号化手段と、
前記平文の前記暗号化された前記特定の1桁を含む各桁に対して予め決められた規則によって桁単位の置換を行うブロック置換手段と、
この単位ブロックツイーカブル暗号化手段およびブロック置換手段による処理を予め決められた回数繰り返させる暗号カウンタ更新手段と
を備えることを特徴とするフォーマット保存暗号化装置。
【0104】
(付記2) 前記単位ブロックツイーカブル暗号化手段が、
予め記憶された暗号鍵によって、前記平文の前記特定の1桁を除いた残りの各桁と前記外部ツイークとを結合した数値を暗号化して特定のビット数の出力値を出力するAES暗号化部と、
前記AES暗号化部の出力値を用いて一時的暗号鍵を生成する一時的暗号鍵生成部と、
前記一時的暗号鍵を利用して前記平文の前記特定の1桁を暗号化するブロック暗号化部と
を備えることを特徴とする、請求項1に記載のフォーマット保存暗号化装置。
【0105】
(付記3) 前記ブロック暗号化部が、前記平文の前記特定の1桁をクヌースシャッフル(Knuth Shuffle)を用いて置換することによって暗号化するものであることを特徴とする、請求項2に記載のフォーマット保存暗号化装置。
【0106】
(付記4) 前記ブロック置換手段が、前記平文の左端の1桁を除いた残りの各桁を1桁ずつ繰り上げ、前記平文の前記左端の1桁を右端とするものであることを特徴とする、請求項1に記載のフォーマット保存暗号化装置。
【0107】
(付記5) 請求項1ないし4のうちいずれか1項に記載のフォーマット保存暗号化装置から出力された暗号文を復号化して、前記暗号文と同一のデータ形式の平文を出力するフォーマット保存復号化装置であって、
前記暗号文の、前記単位ブロックツイーカブル暗号化手段と同一位置の特定の1桁を、前記暗号文の前記特定の1桁を除いた残りの各桁の数値、および前記暗号文と同時に入力された前記暗号化装置と同一の外部ツイークを用いて復号化する単位ブロックツイーカブル復号化手段と、
前記暗号文の前記復号化された前記特定の1桁を含む各桁に対して前記ブロック置換手段とは逆の規則によって桁単位の置換を行うブロック逆置換手段と、
この単位ブロックツイーカブル復号化手段およびブロック逆置換手段による処理を前記暗号カウンタ更新手段と同一の回数繰り返させる復号カウンタ更新手段と
を備えることを特徴とするフォーマット保存復号化装置。
【0108】
(付記6) 前記単位ブロックツイーカブル復号化手段が、
予め記憶された復号鍵によって、前記暗号文の前記特定の1桁を除いた残りの各桁と前記外部ツイークとを結合した数値を復号化して特定のビット数の出力値を出力するAES復号化部と、
前記AES復号化部の出力値を用いて一時的復号鍵を生成する一時的復号鍵生成部と、
前記一時的復号鍵を利用して前記暗号文の前記特定の1桁を復号化するブロック復号化部と
を備えることを特徴とする、請求項5に記載のフォーマット保存復号化装置。
【0109】
(付記7) 前記ブロック復号化部が、前記暗号文の前記特定の1桁をクヌースシャッフル(Knuth Shuffle)を用いて逆置換することによって復号化するものであることを特徴とする、請求項6に記載のフォーマット保存復号化装置。
【0110】
(付記8) 前記ブロック置換手段が、前記平文の右端の1桁を除いた残りの各桁を1桁ずつ繰り下げ、前記平文の前記右端の1桁を左端とするものであることを特徴とする、請求項5に記載のフォーマット保存復号化装置。
【0111】
(付記9) 入力された平文を暗号化して前記平文と同一のデータ形式の暗号文を出力するフォーマット保存暗号化装置にあって、
前記平文の左端の1桁を、前記平文の前記左端の1桁を除いた残りの各桁の数値、および前記平文と同時に入力された外部ツイークを用いて単位ブロックツイーカブル暗号化手段が暗号化し、
前記平文の前記左端の1桁を除いた残りの各桁、および前記暗号化された前記平文の左端の1桁に対して予め決められた規則によってブロック置換手段が桁単位の置換を行い、
この前記平文の左端の1桁の暗号化および前記桁単位の置換の処理をカウンタ更新手段が予め決められた回数繰り返させる
ことを特徴とするフォーマット保存暗号化方法。
【0112】
(付記10) 入力された暗号文を復号化して前記暗号文と同一のデータ形式の平文を出力するフォーマット保存復号化装置にあって、
前記暗号文の左端の1桁を、前記暗号文の前記左端の1桁を除いた残りの各桁の数値、および前記暗号文と同時に入力された外部ツイークを用いて単位ブロックツイーカブル復号化手段が復号化し、
前記暗号文の前記左端の1桁を除いた残りの各桁、および前記復号化された前記暗号文の左端の1桁に対して予め決められた規則によってブロック逆置換手段が桁単位の逆置換を行い、
この前記暗号文の左端の1桁の復号化および前記桁単位の逆置換の処理をカウンタ更新手段が予め決められた回数繰り返させる
ことを特徴とするフォーマット保存復号化方法。
【0113】
(付記11) 入力された平文を暗号化して前記平文と同一のデータ形式の暗号文を出力するフォーマット保存暗号化装置にあって、
前記フォーマット保存暗号化装置が備えるコンピュータに、
前記平文の左端の1桁を、前記平文の前記左端の1桁を除いた残りの各桁の数値、および前記平文と同時に入力された外部ツイークを用いて暗号化する手順、
前記平文の前記左端の1桁を除いた残りの各桁、および前記暗号化された前記平文の左端の1桁に対して予め決められた規則によって桁単位の置換を行う手順、
およびこの前記平文の左端の1桁の暗号化および前記桁単位の置換の処理を予め決められた回数繰り返させる手順
を実行させることを特徴とするフォーマット保存暗号化プログラム。
【0114】
(付記12) 入力された暗号文を復号化して前記暗号文と同一のデータ形式の平文を出力するフォーマット保存復号化装置にあって、
前記フォーマット保存復号化装置が備えるコンピュータに、
前記暗号文の左端の1桁を、前記暗号文の前記左端の1桁を除いた残りの各桁の数値、および前記暗号文と同時に入力された外部ツイークを用いて復号化する手順、
前記暗号文の前記左端の1桁を除いた残りの各桁、および前記復号化された前記暗号文の左端の1桁に対して予め決められた規則によって桁単位の逆置換を行う手順、
およびこの前記暗号文の左端の1桁の復号化および前記桁単位の逆置換の処理を予め決められた回数繰り返させる手順
を実行させることを特徴とするフォーマット保存復号化プログラム。
【0115】
この出願は2012年4月24日に出願された日本出願特願2012−098403を基礎とする優先権を主張し、その開示の全てをここに取り込む。
【産業上の利用可能性】
【0116】
本発明は、データ形式が予め定められている業務システムやデータベースなどにデータの暗号化/復号化機能を付加するという用途に対して、幅広く適用が可能である。前述のクレジットカード番号などの例以外にも、たとえばRFIDタグ(標準長96ビット、AESの128ビットより短い)のデータを暗号化するためにも有効である。
【符号の説明】
【0117】
1 暗号化システム
10 暗号化装置
11、21 プロセッサ
12、22 記憶手段
13、23 入力手段
14、24 出力手段
20 復号化装置
101 単位ブロックツイーカブル暗号化手段
101a AES暗号化部
101b 一時的鍵生成部
101c ブロック暗号化部
102 ブロック置換手段
103、203 カウンタ更新手段
111 暗号鍵
201 単位ブロックツイーカブル復号化手段
202 ブロック逆置換手段
211 復号鍵
図1
図2
図3
図4
図5
図6
【国際調査報告】