加密處理裝置、加密處理方法和程序的制作方法
【專利摘要】為了實(shí)現(xiàn)由于對(duì)回合密鑰提供的控制而非常安全的加密處理裝置�,本發(fā)明的一個(gè)方面包括:加密處理單元,其將要進(jìn)行數(shù)據(jù)處理的數(shù)據(jù)的配置位劃分成多行并且然后進(jìn)行輸入��,然后對(duì)各行數(shù)據(jù)重復(fù)執(zhí)行應(yīng)用回合函數(shù)的數(shù)據(jù)轉(zhuǎn)換處理作為回合運(yùn)算����;以及密鑰安排單元���,其將回合密鑰輸出到加密處理單元中的回合運(yùn)算執(zhí)行單元��。密鑰安排單元是替換型密鑰安排單元����,其將先前保存的秘密密鑰劃分成多個(gè)單位并生成多個(gè)回合密鑰,并且密鑰安排單元以不存在固定序列重復(fù)的設(shè)置將所生成的多個(gè)回合密鑰輸出到在加密處理單元中順序地執(zhí)行的回合運(yùn)算執(zhí)行單元�����。由于所述結(jié)構(gòu)��,實(shí)現(xiàn)了非常安全并且對(duì)相關(guān)密鑰攻擊或類似攻擊具有強(qiáng)抵抗性的加密處理配置�����。
【專利說(shuō)明】加密處理裝置�、加密處理方法和程序
【技術(shù)領(lǐng)域】
[0001]本公開(kāi)涉及一種加密處理裝置、加密處理方法和程序��。更具體地�,這涉及用于執(zhí)行共享密鑰加密的加密處理裝置、加密處理方法和程序�。
【背景技術(shù)】
[0002]隨著信息社會(huì)繼續(xù)發(fā)展,用于安全地保護(hù)所使用的信息的信息安全技術(shù)的必要性增加�。信息安全技術(shù)的一種配置元素是加密技術(shù),并且各種產(chǎn)品和系統(tǒng)當(dāng)前在使用加密技術(shù)。
[0003]盡管存在各種類型的加密處理算法�,但是基本技術(shù)之一稱為共享密鑰塊加密。根據(jù)共享密鑰塊加密��,用于加密的密鑰和用于解密的密鑰是共享項(xiàng)����。在加密處理和解密處理中,根據(jù)這些共享密鑰生成多個(gè)密鑰����,并且以具有特定塊單位(諸如64位、128位�、256位等)的塊數(shù)據(jù)單位重復(fù)執(zhí)行數(shù)據(jù)轉(zhuǎn)換處理。
[0004]作為先前美國(guó)標(biāo)準(zhǔn)的DES (數(shù)據(jù)加密標(biāo)準(zhǔn))和作為當(dāng)前美國(guó)標(biāo)準(zhǔn)的AES (高級(jí)加密標(biāo)準(zhǔn))已知為代表性的共享密鑰塊加密算法�����。繼續(xù)提出其它各種共享密鑰塊加密����,并且索尼公司在2007年提出的CLEFIA也是共享密鑰塊加密。
[0005]這些種類的共享密鑰塊加密算法主要配置有:加密處理部,包括用于重復(fù)地執(zhí)行輸入數(shù)據(jù)的轉(zhuǎn)換的回合函數(shù)執(zhí)行單元�;以及密鑰安排部,用于生成要在關(guān)于回合函數(shù)單元的各個(gè)回合處施加的回合密鑰��。密鑰安排部首先基于作為秘密密鑰的主密鑰(master key)而生成位數(shù)增加的擴(kuò)展密鑰,并且基于所生成的擴(kuò)展密鑰而生成要在關(guān)于加密處理部的各個(gè)回合函數(shù)單元處施加的回合密鑰(secondary key)����。
[0006]用于重復(fù)地執(zhí)行包括線性轉(zhuǎn)換單元和非線性轉(zhuǎn)換單元的回合函數(shù)的配置被認(rèn)為是這些種類的算法的具體配置��。代表性的結(jié)構(gòu)包括例如Feistel結(jié)構(gòu)和一般化Feistel結(jié)構(gòu)��。Feistel結(jié)構(gòu)和一般化Feistel結(jié)構(gòu)包括下述結(jié)構(gòu):其通過(guò)重復(fù)包括作為數(shù)據(jù)轉(zhuǎn)換函數(shù)的F函數(shù)的簡(jiǎn)單回合函數(shù)而將明文轉(zhuǎn)換成密文��。由F函數(shù)執(zhí)行線性轉(zhuǎn)換處理和非線性轉(zhuǎn)換處理��。此外���,NPLl和NPL2是公開(kāi)了應(yīng)用Feistel結(jié)構(gòu)的加密處理的文獻(xiàn)的示例����。
[0007]相反���,正涌現(xiàn)各種新的技術(shù)��,諸如不法地執(zhí)行加密算法的分析或密鑰的分析以執(zhí)行密碼分析的技術(shù)�����。這種技術(shù)的一個(gè)示例是相關(guān)密鑰攻擊���。盡管考慮了各種對(duì)策來(lái)處理這些種類的攻擊���,當(dāng)前狀態(tài)是這些對(duì)策是不夠的。
[0008]引用列表
[0009]非專利文獻(xiàn)
[0010]NPLl:K.Nybergj"Generalized Feistel Networks"�����,ASIACRYPT96�����,SpringerVerlag��,1996���,pp.91-104.[0011]NPL2:Yuliang Zheng, Tsutomu Matsumotoj Hideki Ima1:0n the Constructionof Block Ciphers Provably Secure and Not Relying on Any Unproved Hypotheses.CRYPT01989:461-480.[0012]NPL3:索尼公司�,〃The 128-bit Blockcipher CLEFIA Algorithm Specification",Revisionl.0, 2007.[0013]NPL4:Aokij Ichikawa, Kandaj Matsuij Moriaij Nakajimaj Tokitaj "128-bit BlockEncryption Camellia Algorithm Specification^, Version2.0,2001.[0014]NPL5:GOST 28147-89:Encryption, Decryption, and Message AuthenticationCode (MAC) Algorithms�����,RFC5830.[0015]NPL6:3rd Generation Partnership Project,Technical SpecificationGroup Services and System Aspects,3G Security,Specification of the3GPP Confidentiality and Integrity Algorithms;Document2:KASUMISpecification, V9.0.0�,2009.
【發(fā)明內(nèi)容】
[0016]技術(shù)問(wèn)題
[0017]本公開(kāi)是考慮到例如先前描述的情形的結(jié)果��,并且目的是提供具有高安全性水平的加密處理裝置�、加密處理方法和程序�����,其使得諸如相關(guān)密鑰攻擊的不法密碼分析是困難的�����。
[0018]問(wèn)題的解決方案
[0019]本公開(kāi)的第一方面是一種加密處理裝置�����,其包括:
[0020]加密處理部�,被配置成將要進(jìn)行數(shù)據(jù)處理的數(shù)據(jù)的配置位劃分成多行并輸入�,并且對(duì)各行數(shù)據(jù)重復(fù)執(zhí)行應(yīng)用回合函數(shù)的數(shù)據(jù)轉(zhuǎn)換處理作為回合計(jì)算;以及
[0021]密鑰安排部��,被配置成將回合密鑰輸出到加密處理部中的回合計(jì)算執(zhí)行單元��;
[0022]其中���,密鑰 安排部是替換型密鑰安排部�,該替換型密鑰安排部被配置成通過(guò)將預(yù)先存儲(chǔ)的秘密密鑰劃分成多個(gè)部分而生成多個(gè)回合密鑰或回合密鑰配置數(shù)據(jù);
[0023]并且其中�����,多個(gè)回合密鑰或者根據(jù)回合密鑰配置數(shù)據(jù)的組合生成的多個(gè)回合密鑰被輸出到在加密處理部中順序地執(zhí)行的回合計(jì)算執(zhí)行單元��,以使得不重復(fù)恒定的序列���。
[0024]關(guān)于根據(jù)本公開(kāi)的加密處理裝置的實(shí)施例���,密鑰安排部以關(guān)于回合計(jì)算執(zhí)行單元的多個(gè)回合為單位而改變與回合計(jì)算執(zhí)行單元對(duì)應(yīng)的多個(gè)回合密鑰的輸入序列。
[0025]關(guān)于根據(jù)本公開(kāi)的加密處理裝置的實(shí)施例���,加密處理部包括:F函數(shù)執(zhí)行單元����,被配置成輸入被劃分成多行的數(shù)據(jù)并且包括非線性轉(zhuǎn)換處理和線性轉(zhuǎn)換處理�����;以及計(jì)算單元��,被配置成執(zhí)行對(duì)F函數(shù)執(zhí)行單元的輸出應(yīng)用回合密鑰的計(jì)算��。
[0026]關(guān)于根據(jù)本公開(kāi)的加密處理裝置的實(shí)施例,密鑰安排部將預(yù)先存儲(chǔ)的秘密密鑰劃分成多個(gè)部分�����,并且生成位數(shù)與輸入到回合計(jì)算執(zhí)行單元的回合密鑰相同的多個(gè)回合密鑰���。
[0027]關(guān)于根據(jù)本公開(kāi)的加密處理裝置的實(shí)施例����,密鑰安排部將預(yù)先存儲(chǔ)的秘密密鑰劃分成多個(gè)部分并生成位數(shù)比輸入到回合計(jì)算執(zhí)行單元的回合密鑰小的多個(gè)回合密鑰��,并且執(zhí)行多個(gè)回合密鑰配置數(shù)據(jù)的多個(gè)組合��,并生成位數(shù)與輸入到回合計(jì)算執(zhí)行單元的回合密鑰相同的回合密鑰�。
[0028]關(guān)于根據(jù)本公開(kāi)的加密處理裝置的實(shí)施例���,密鑰安排部關(guān)于在加密處理部中順序地執(zhí)行的回合計(jì)算執(zhí)行單元�����,并列輸出被并行地應(yīng)用于回合計(jì)算執(zhí)行單元的多個(gè)回合密鑰���。[0029]關(guān)于根據(jù)本公開(kāi)的加密處理裝置的實(shí)施例���,密鑰安排部包括至少一個(gè)選擇器,該至少一個(gè)選擇器被配置成執(zhí)行與回合計(jì)算執(zhí)行單元對(duì)應(yīng)的密鑰選擇提供處理�����。
[0030]關(guān)于根據(jù)本公開(kāi)的加密處理裝置的實(shí)施例���,密鑰安排部通過(guò)對(duì)多個(gè)回合密鑰或回合密鑰配置數(shù)據(jù)進(jìn)行分類來(lái)設(shè)置多個(gè)組�����,并且以所設(shè)置的組為單位來(lái)執(zhí)行與回合計(jì)算執(zhí)行單元對(duì)應(yīng)的密鑰提供序列的控制處理�。
[0031]關(guān)于根據(jù)本公開(kāi)的加密處理裝置的實(shí)施例��,密鑰安排部包括以組為單位的選擇器�。
[0032]關(guān)于根據(jù)本公開(kāi)的加密處理裝置的實(shí)施例,加密處理部執(zhí)行用于將作為輸入數(shù)據(jù)的明文轉(zhuǎn)換為密文的加密處理�����,或執(zhí)行用于將作為輸入數(shù)據(jù)的密文轉(zhuǎn)換為明文的解密處理��。
[0033]此外���,本公開(kāi)的第二方面是一種要在加密處理裝置中執(zhí)行的加密處理方法���,該加密處理方法包括:
[0034]加密處理步驟���,其中,加密處理部被配置成將要進(jìn)行數(shù)據(jù)處理的數(shù)據(jù)的配置位劃分成多行并輸入��,并且對(duì)各行數(shù)據(jù)重復(fù)執(zhí)行應(yīng)用回合函數(shù)的數(shù)據(jù)轉(zhuǎn)換處理作為回合計(jì)算��;以及
[0035]密鑰安排步驟����,其中�,密鑰安排部被配置成將回合密鑰輸出到加密處理部中的回合計(jì)算執(zhí)行單元;
[0036]其中�,密鑰安排部是替換型密鑰安排部,該替換型密鑰安排部被配置成通過(guò)將預(yù)先存儲(chǔ)的秘密密鑰劃分成多個(gè)部分而生成多個(gè)回合密鑰或回合密鑰配置數(shù)據(jù)��;
[0037]并且其中�����,多個(gè)回合密鑰或者根據(jù)回合密鑰配置數(shù)據(jù)的組合生成的多個(gè)回合密鑰以使得不重復(fù)恒定的序列的設(shè)置被輸出到在加密處理部中順序地執(zhí)行的回合計(jì)算執(zhí)行單
J Li ο
[0038]此外�����,本公開(kāi)的第三方面是用于在加密處理裝置中執(zhí)行加密處理的程序,該程序包括:
[0039]加密處理步驟�,其中,加密處理部被配置成將要進(jìn)行數(shù)據(jù)處理的數(shù)據(jù)的配置位劃分成多行并輸入�,并且對(duì)各行數(shù)據(jù)重復(fù)執(zhí)行應(yīng)用回合函數(shù)的數(shù)據(jù)轉(zhuǎn)換處理作為回合計(jì)算;以及
[0040]密鑰安排步驟����,其中,密鑰安排部被配置成將回合密鑰輸出到加密處理部中的回合計(jì)算執(zhí)行單元�;
[0041]其中,密鑰安排部是替換型密鑰安排部����,該替換型密鑰安排部被配置成通過(guò)將預(yù)先存儲(chǔ)的秘密密鑰劃分成多個(gè)部分而生成多個(gè)回合密鑰或回合密鑰配置數(shù)據(jù);
[0042]并且其中���,多個(gè)回合密鑰或者根據(jù)回合密鑰配置數(shù)據(jù)的組合生成的多個(gè)回合密鑰以使得不重復(fù)恒定的序列的設(shè)置被輸出到在加密處理部中順序地執(zhí)行的回合計(jì)算執(zhí)行單
J Li ο
[0043]此外��,根據(jù)本公開(kāi)的程序是例如通過(guò)例如記錄介質(zhì)而被提供到能夠執(zhí)行各種程序代碼的信息處理裝置或計(jì)算機(jī)系統(tǒng)的程序�����。通過(guò)利用信息處理裝置或計(jì)算機(jī)系統(tǒng)中的程序執(zhí)行單元執(zhí)行這種程序而通過(guò)程序?qū)崿F(xiàn)處理�����。
[0044]本公開(kāi)的其它目的�、特征和優(yōu)點(diǎn)將通過(guò)基于稍后描述的本發(fā)明的實(shí)施例和附圖的詳細(xì)描述而變得清楚。此外�,關(guān)于本說(shuō)明書(shū)的系統(tǒng)是多個(gè)裝置的邏輯組合配置,因此裝置的各種配置不限于容納在同一物理單元內(nèi)����。
[0045]本發(fā)明的有利效果
[0046]根據(jù)本公開(kāi)的實(shí)施例,通過(guò)提供對(duì)回合密鑰的控制來(lái)實(shí)現(xiàn)具有高安全性水平的加密處理裝置�����。
[0047]具體地�,包括:加密處理部,被配置成將要進(jìn)行數(shù)據(jù)處理的數(shù)據(jù)的配置位劃分成多行并輸入�����,并且對(duì)各行數(shù)據(jù)重復(fù)執(zhí)行應(yīng)用回合函數(shù)的數(shù)據(jù)轉(zhuǎn)換處理作為回合計(jì)算���;以及密鑰安排部,被配置成將回合密鑰輸出到加密處理部中的回合計(jì)算執(zhí)行單元;其中�,密鑰安排部是替換型密鑰安排部,該替換型密鑰安排部被配置成通過(guò)將預(yù)先存儲(chǔ)的秘密密鑰劃分成多個(gè)部分而生成多個(gè)回合密鑰或回合密鑰配置數(shù)據(jù)�;并且其中,多個(gè)回合密鑰被輸出到在加密處理部中順序地執(zhí)行的回合計(jì)算執(zhí)行單元����,以使得不重復(fù)恒定的序列。根據(jù)本配置��,實(shí)現(xiàn)了對(duì)例如重復(fù)密鑰攻擊或其它攻擊具有高抵抗水平的���、具有高安全性水平的加密處理配置��。
【專利附圖】
【附圖說(shuō)明】
[0048]圖1是描述與k位的密鑰長(zhǎng)度對(duì)應(yīng)的η位共享密鑰塊加密算法的圖���。
[0049]圖2是描述與圖1所示的對(duì)應(yīng)于k位的密鑰長(zhǎng)度的η位共享密鑰塊加密算法對(duì)應(yīng)的解密算法的圖。
[0050]圖3是描述密鑰安排部與數(shù)據(jù)加密部之間的關(guān)系的圖�。
[0051]圖4是描述數(shù)據(jù)加密部的示例配置的圖。
[0052]圖5是描述SPN結(jié)構(gòu)回合函數(shù)的示例的圖���。
[0053]圖6是描述Feistel結(jié)構(gòu)回合函數(shù)的示例的圖���。
[0054]圖7是描述擴(kuò)展Feistel結(jié)構(gòu)的示例的圖。
[0055]圖8是描述擴(kuò)展Feistel結(jié)構(gòu)的示例的圖。
[0056]圖9是描述非線性轉(zhuǎn)換單元的示例配置的圖��。
[0057]圖10是描述線性轉(zhuǎn)換處理單元的示例配置的圖���。
[0058]圖11是描述密鑰安排部(擴(kuò)展密鑰生成單元)的圖���。
[0059]圖12是描述密鑰安排部(擴(kuò)展密鑰生成單元)的圖。
[0060]圖13是描述塊加密GOST的示例配置的圖�。
[0061]圖14是描述作為GOST數(shù)據(jù)結(jié)構(gòu)的Feistel結(jié)構(gòu)的圖。
[0062]圖15是描述可以提供任意秘密密鑰差別Λ的攻擊的圖����。
[0063]圖16是描述如下情況的圖:其中,當(dāng)存在替換型密鑰安排部時(shí)����,每個(gè)回合密鑰差別Ai以每m位被劃分成秘密密鑰差別Λ。
[0064]圖17是描述通過(guò)提供平均差別(d���,d)而使得F函數(shù)的輸入差別變?yōu)榱愕膱D��。
[0065]圖18是描述類型2 —般化Feistel結(jié)構(gòu)的示例的圖���。
[0066]圖19是描述F函數(shù)之后的XOR (異或)的示例配置的圖。
[0067]圖20是描述F函數(shù)之后的XOR的示例配置的圖�����。
[0068]圖21是描述如下示例配置的圖:其中���,當(dāng)密鑰是2n位時(shí)�,秘密密鑰K以每(n/2)位被劃分成四個(gè)相等部分����,并且在每四個(gè)回合進(jìn)行更換(shuffle)的同時(shí)被提供。
[0069]圖22是描述如下示例配置的圖:其中����,秘密密鑰K以每(n/4)位被劃分成八個(gè)相等部分,并且在每四個(gè)回合進(jìn)行更換的同時(shí)提供兩個(gè)(n/4)位的部分�。
[0070]圖23是描述如下示例配置的圖:其中,當(dāng)長(zhǎng)度是4n位時(shí)�����,秘密密鑰K以每(n/2)位被劃分成八個(gè)相等部分�,并且在每八個(gè)回合進(jìn)行更換的同時(shí)被提供。
[0071]圖24是描述如下示例配置的圖:其中�����,當(dāng)密鑰是2n位時(shí),秘密密鑰K以每(n/4)位被劃分成八個(gè)相等部分����,并且在每四個(gè)回合進(jìn)行更換的同時(shí)提供兩個(gè)(n/4)位的部分。
[0072]圖25是描述如下示例配置的圖:其中���,秘密密鑰以每(n/4)位被劃分成八個(gè)相等部分���,其中,這八個(gè)相等部分中的四個(gè)在左側(cè)F函數(shù)的回合密鑰RKy中使用��,并且剩余四個(gè)在右側(cè)F函數(shù)的回合密鑰RKu中使用�。
[0073]圖26是描述如下模型的圖:其中,具有4個(gè)數(shù)據(jù)行的一般化Feistel結(jié)構(gòu)中的循環(huán)移位被改變?yōu)榛睾现脫Q(具有4個(gè)數(shù)據(jù)行的一般化Feistel結(jié)構(gòu)+)��。
[0074]圖27是描述關(guān)于具有4個(gè)數(shù)據(jù)行的一般化Feistel結(jié)構(gòu)�,應(yīng)用與圖25類似的更換技術(shù)的示例的圖。
[0075]圖28是示出當(dāng)秘密密鑰是(5n/4)位并且一個(gè)回合所需的回合密鑰是(n/2)位時(shí)�����,密鑰安排部的配置方法的圖����。
[0076]圖29是描述當(dāng)簡(jiǎn)單按順序輸入回合密鑰時(shí)的示例配置的圖����。
[0077]圖30是描述當(dāng)簡(jiǎn)單按順序輸入回合密鑰時(shí)的示例配置的圖��。
[0078]圖31是描述對(duì)于具有一般化Feistel結(jié)構(gòu)的η位塊加密���,使用與一個(gè)回合對(duì)應(yīng)的回合密鑰的配置的圖,其中該一般化Feistel結(jié)構(gòu)具有劃分?jǐn)?shù)為d的d個(gè)數(shù)據(jù)行��。
[0079]圖32是描述如下示例配置的圖:其中��,秘密密鑰是η位��,通過(guò)將η位秘密密鑰劃分成四個(gè)相等部分而生成n/4位的回合密鑰�,并且這些回合密鑰對(duì)于每個(gè)回合一次輸入兩個(gè)。
[0080]圖33是描述如下示例配置的圖:其中����,秘密密鑰是(5/4) η位,通過(guò)將η位的秘密密鑰劃分成五個(gè)相等部分而生成n/4位的回合密鑰��,并且這些回合密鑰對(duì)于每個(gè)回合一次輸入兩個(gè)����。
[0081]圖34是描述如下示例配置的圖:其中�,秘密密鑰是η位���,通過(guò)將(5/4) η位的秘密密鑰劃分成五個(gè)相等部分而生成n/4位的回合密鑰��,并且這些回合密鑰對(duì)于每個(gè)回合一次輸入兩個(gè)�。
[0082]圖35是描述如下示例配置的圖:其中�,以多個(gè)回合為單位改變密鑰選擇序列。
[0083]圖36是描述被設(shè)置為使得以四個(gè)回合為單位執(zhí)行的替換處理每次均不同的回合密鑰提供的示例配置的圖�。
[0084]圖37是描述如下示例配置的圖:其中,以多個(gè)回合為單位改變密鑰選擇序列����。
[0085]圖38是描述如下示例配置的圖:其中,每三個(gè)回合執(zhí)行替換�����,并且在三個(gè)回合中使用六個(gè)密鑰��。
[0086]圖39是描述如下示例配置的圖:其中,以多個(gè)回合為單位改變密鑰選擇序列。
[0087]圖40是描述作為選擇器的回合密鑰提供配置的圖���。
[0088]圖41是描述作為選擇器的回合密鑰提供配置的圖。
[0089]圖42是描述作為選擇器的回合密鑰提供配置的圖����。
[0090]圖43是示出作為加密處理裝置的IC模塊700的示例配置的圖?!揪唧w實(shí)施方式】
[0091]在下文中,將參照附圖詳細(xì)描述與本公開(kāi)有關(guān)的加密處理裝置���、加密處理方法和程序。將根據(jù)以下項(xiàng)進(jìn)行描述����。
[0092]1.共享密鑰塊加密概況
[0093]2.密鑰安排部的配置和處理概況
[0094]3.關(guān)于密鑰安排部的攻擊和對(duì)這些攻擊的先前對(duì)策的示例
[0095]4.可以獲得相對(duì)于相關(guān)密鑰攻擊的安全性的密鑰安排部的替換類型
[0096]5.密鑰安排部的密鑰替換類型的各種配置示例(變型)
[0097]6.加密處理裝置的配置示例
[0098]7.本公開(kāi)的配置的結(jié)論
[0099][1.共享密鑰塊加密概況]
[0100]首先,將描述共享密鑰塊加密的概況�。
[0101](1-1.共享密鑰塊加密)
[0102]以下定義規(guī)定哪些在此表示共享密鑰塊加密(下文中,塊加密)�。
[0103]塊加密獲得作為輸入的明文P和密鑰K,并且輸出密文C����。明文和密文的位長(zhǎng)稱為塊大小,其被記作η���。η是作為通常針對(duì)每種塊加密算法預(yù)先確定的一個(gè)值的任意整數(shù)值��。塊長(zhǎng)度是η的塊加密的這種情況有時(shí)稱為η位塊加密�。
[0104]密鑰的位長(zhǎng)被表示為k。密鑰具有任意整數(shù)值�����。共享密鑰塊加密算法可以支持一個(gè)或多個(gè)密鑰大小����。例如,對(duì)于某種塊加密算法A����,塊大小是n=128,因此支持密鑰大小為k=128�、k=192或k=256的配置是可能的。
[0105]明文P:n位
[0106]密文C:n位
[0107]密鑰K:k位
[0108]圖1示出了與k位的密鑰長(zhǎng)度對(duì)應(yīng)的η位共享密鑰塊加密算法E的圖�����。
[0109]與加密算法E對(duì)應(yīng)的解密算法D可以被定義為加密算法E的逆函數(shù)Ε—1��,其接收作為輸入的密文C和密鑰K并且輸出明文P�����。圖2示出了與圖1所示的加密算法E對(duì)應(yīng)的解密算法D的圖。
[0110](1-2.內(nèi)部配置)
[0111]考慮作為被劃分成兩個(gè)部分的塊加密��。一個(gè)是“密鑰安排部”���,密鑰K被輸入到該“密鑰安排部”���,并且該“密鑰安排部”通過(guò)根據(jù)某些先前確定的步驟擴(kuò)展位長(zhǎng)而輸出擴(kuò)展密鑰K’(位長(zhǎng)k’),另一個(gè)是“數(shù)據(jù)加密部”�,該“數(shù)據(jù)加密部”接收明文P和從密鑰安排部擴(kuò)展的密鑰K’,執(zhí)行數(shù)據(jù)轉(zhuǎn)換����,并且輸出密文C����。
[0112]在圖3中示出了這兩個(gè)部分之間的關(guān)系。
[0113](1-3.數(shù)據(jù)加密部)
[0114]在以下實(shí)施例中使用的數(shù)據(jù)加密部可以被劃分成稱為回合函數(shù)的處理單位���?��;睾虾瘮?shù)接收兩個(gè)單位的數(shù)據(jù)作為輸入,在內(nèi)部進(jìn)行處理,并且輸出一個(gè)單位的數(shù)據(jù)�����。輸入數(shù)據(jù)的一部分是當(dāng)前被加密的η位數(shù)據(jù)�����,其導(dǎo)致來(lái)自對(duì)于某個(gè)回合的回合函數(shù)的輸出被提供作為下一回合的輸入的配置����。輸入數(shù)據(jù)的其它部分用作從密鑰安排器輸出的擴(kuò)展密鑰的一部分的數(shù)據(jù),并且該密鑰數(shù)據(jù)被稱為回合密鑰����。另外,回合函數(shù)的總數(shù)被稱為總回合數(shù)���,并且是對(duì)于每種加密算法預(yù)先確定的值�����。這里����,總回合數(shù)被表示為R。
[0115]當(dāng)從數(shù)據(jù)加密部的輸入側(cè)來(lái)看時(shí)��,其中����,第一回合的輸入數(shù)據(jù)被指定為X1,在第i回合的回合函數(shù)中輸入的數(shù)據(jù)被指定為Xi�����,并且回合密鑰被指定為RKi,數(shù)據(jù)加密部的概況如圖4所示���。
[0116](1-4.回合函數(shù))
[0117]回合函數(shù)根據(jù)塊加密算法而可以具有各種形式����?����;睾虾瘮?shù)可以通過(guò)由該加密算法(結(jié)構(gòu))采用的結(jié)構(gòu)來(lái)分類���。這里作為示例所使用的典型結(jié)構(gòu)是SPN結(jié)構(gòu)、Feistel結(jié)構(gòu)和擴(kuò)展Feistel結(jié)構(gòu)����。
[0118](A) SPN結(jié)構(gòu)回合函數(shù)
[0119]該結(jié)構(gòu)對(duì)回合密鑰和所有η位輸入數(shù)據(jù)應(yīng)用線性轉(zhuǎn)換處理�、非線性轉(zhuǎn)換和XOR計(jì)算�。每個(gè)計(jì)算的順序不是特別確定的。圖5示出了 SPN結(jié)構(gòu)回合函數(shù)的示例�。
[0120](B) Feistel 結(jié)構(gòu)
[0121]η位輸入數(shù)據(jù)被劃分成n/2位數(shù)據(jù)的兩個(gè)單位。以該數(shù)據(jù)的一個(gè)部分和回合密鑰作為輸入來(lái)應(yīng)用函數(shù)(F函數(shù))���,并且對(duì)輸出和數(shù)據(jù)的另一部分進(jìn)行XOR計(jì)算�。對(duì)該數(shù)據(jù)的兩側(cè)進(jìn)行更換的結(jié)果變?yōu)檩敵鰯?shù)據(jù)��。盡管存在F函數(shù)的各種類型的內(nèi)部配置���,但是這些基本上與具有與回合密鑰數(shù)據(jù)的XOR計(jì)算��、非線性計(jì)算和線性轉(zhuǎn)換的組合的SPN結(jié)構(gòu)類似地來(lái)實(shí)現(xiàn)��。圖6示出了 Feistel結(jié)構(gòu)回合函數(shù)的示例����。
[0122](C)擴(kuò)展 Feistel 結(jié)構(gòu)
[0123]關(guān)于Feistel結(jié)構(gòu)的等于兩個(gè)的數(shù)據(jù)劃分?jǐn)?shù)被擴(kuò)展為具有擴(kuò)展Feistel結(jié)構(gòu)的三個(gè)或更多個(gè)劃分的格式����。如果劃分?jǐn)?shù)被表示為d�,則可以根據(jù)d定義各種擴(kuò)展Feistel結(jié)構(gòu)�����。由于F函數(shù)輸入和輸出的大小相對(duì)較小���,因此這適合于小實(shí)現(xiàn)��。圖7示出了 d=4并且在一個(gè)回合內(nèi)并行應(yīng)用兩個(gè)F函數(shù)的擴(kuò)展Feistel結(jié)構(gòu)的示例���。另外,圖8示出了 d=8并且在一個(gè)回合內(nèi)應(yīng)用一個(gè)F函數(shù)的擴(kuò)展Feistel結(jié)構(gòu)的示例�����。
[0124](D)具有d個(gè)數(shù)據(jù)行的一般化Feistel結(jié)構(gòu)
[0125]對(duì)于劃分?jǐn)?shù)d是偶數(shù)的擴(kuò)展Feistel結(jié)構(gòu)���,在一個(gè)回合內(nèi)并行應(yīng)用d/2個(gè)F函數(shù)���。
[0126]另外���,循環(huán)移位用作回合之間的替換����。
[0127]注意,圖7��、18和20示出了具有4個(gè)數(shù)據(jù)行的一般化Feistel結(jié)構(gòu)���。
[0128](1-5.非線性轉(zhuǎn)換處理單元)
[0129]對(duì)于非線性轉(zhuǎn)換處理單元����,實(shí)現(xiàn)成本趨向于隨著輸入數(shù)據(jù)的大小增加而增加���。為了避開(kāi)這一點(diǎn)�,使用了多種配置:其中���,相應(yīng)數(shù)據(jù)被劃分成多個(gè)單位���,并且對(duì)該數(shù)據(jù)進(jìn)行非線性轉(zhuǎn)換。例如�,當(dāng)輸入大小被指定為ms位時(shí),這些配置以每s位劃分m個(gè)數(shù)據(jù)單位�����,并且對(duì)輸入和輸出是s位的該數(shù)據(jù)執(zhí)行非線性轉(zhuǎn)換。這些s位的單位中的非線性轉(zhuǎn)換稱為S盒���。圖9示出了示例��。
[0130](1-6.線性轉(zhuǎn)換處理單元)
[0131]線性轉(zhuǎn)換處理單元可以被定義為考慮其性質(zhì)的矩陣���。矩陣的元素一般可以以各種方式(諸如GF(28)的體元素和GF(2)的元素)來(lái)表示。圖10示出了由mXm矩陣定義的線性轉(zhuǎn)換處理單元的示例�,其將ms位的輸入和輸出定義為GF (2s)。
[0132][2.密鑰安排部的配置和處理概況]
[0133]在描述本公開(kāi)的加密處理之前�,將描述作為初步配置的密鑰安排部的配置和處理概況。
[0134]密鑰安排部是如圖11所示的函數(shù)���,其(擴(kuò)展密鑰生成單元)輸入k位的秘密密鑰K并且通過(guò)某種確定的轉(zhuǎn)換生成k’位擴(kuò)展密鑰(回合密鑰)K’��。
[0135]一般地�����,k〈k’���,并且當(dāng)數(shù)據(jù)加密部重復(fù)執(zhí)行稱為回合函數(shù)的非線性計(jì)算時(shí),提供到每個(gè)回合函數(shù)的回合密鑰被指定為m位,并且回合函數(shù)重復(fù)次數(shù)被指定為R���,k’ =mXR。該設(shè)置如圖12所示��。
[0136]例如�����,關(guān)于共享密鑰塊加密AES�����,
[0137]當(dāng)k=128 時(shí)����,
[0138]m=128 并且 R=ll,
[0139]因此k’ =1408�����。
[0140]當(dāng)k=192 時(shí)��,
[0141]m=128 并且 R=13�,
[0142]因此k’ =1664。
[0143]期望以下特性(特性I至3)來(lái)保證密鑰安排部中的安全性。
[0144](特性I)不存在等同密鑰
[0145]此外����,關(guān)于秘密密鑰KO是輸入時(shí)的擴(kuò)展密鑰K0’和當(dāng)秘密密鑰Kl (古K0)是輸入時(shí)的擴(kuò)展密鑰κgamma,當(dāng)κο’ =Kr時(shí)��,Ko和κι被稱為等同密鑰�����。
[0146](特性2)具有對(duì)相關(guān)密鑰攻擊(relatedkey attack)的充分抵抗性
[0147]—般攻擊使用明文與由某種固定秘密密鑰得到的密文之間的數(shù)據(jù)偏差(差別��、線性度等)�,然而相關(guān)密鑰攻擊使用明文與由多個(gè)秘密密鑰得到的密文之間的數(shù)據(jù)偏差。
[0148]例如����,這些攻擊是假設(shè)兩個(gè)秘密密鑰的值是未知的但是秘密密鑰之間的差別是已知的而執(zhí)行的。
[0149]還存在假設(shè)攻擊者自由選擇秘密密鑰之間的差別的強(qiáng)烈攻擊�。期望甚至在該假設(shè)下也實(shí)現(xiàn)安全性水平。
[0150]在正常差別攻擊(沒(méi)有考慮相關(guān)密鑰的差別攻擊)的情況下���,攻擊者例如僅使用多個(gè)明文P和由未知的秘密密鑰K加密的密文C (=E(K, P))的組合����,并且推出該未知的秘密密鑰K。
[0151]然而���,在相關(guān)密鑰差別攻擊的情況下��,除了多個(gè)明文P和由未知秘密密鑰K加密的密文C (=E (K, P))的組合之外,關(guān)于未知秘密密鑰K���,攻擊者還使用多個(gè)明文P’和由攻擊者添加了任意指定的秘密密鑰差別ΛΚ的Κ(+) Λ K加密的密文C’ (Ε(Κ(+) Λ K����,P’)的組合��,來(lái)推出未知秘密密鑰K�。
[0152]注意,(+ )表示XOR算子�����。
[0153]因此��,對(duì)于相關(guān)密鑰差別攻擊�����,攻擊者可以使用的信息較大,因此攻擊者的強(qiáng)度比正常差別攻擊的強(qiáng)度大�。
[0154](特性3)具有對(duì)滑動(dòng)攻擊(slideattack)的充分抵抗性
[0155]例如,當(dāng)滑動(dòng)值被取作與當(dāng)來(lái)自秘密密鑰KO的輸入的回合密鑰被指定為RK1, RK2,..., RKe并且來(lái)自秘密密鑰Kl的輸入的回合密鑰被指定為RK2, RK3,RKE+1時(shí)一樣時(shí)���,存在丟失安全性水平的可能�����。
[0156]關(guān)于實(shí)現(xiàn)問(wèn)題����, 在密鑰安排部中還期望以下特性(4至9)�����。[0157](特性4)實(shí)現(xiàn)是簡(jiǎn)單的
[0158](特性5)用于根據(jù)秘密密鑰生成擴(kuò)展密鑰的設(shè)置時(shí)間短
[0159](特性6)可以在進(jìn)行中(onthe fly)生成擴(kuò)展密鑰
[0160](特性7)盡可能地共享加密密鑰安排部和解密密鑰安排部
[0161](特性8)盡可能地共享數(shù)據(jù)加密部和數(shù)據(jù)解密部
[0162](特性9)容易支持秘密密鑰長(zhǎng)度的改變
[0163]從安全性和實(shí)現(xiàn)的角度來(lái)看���,安排單元優(yōu)選地以良好平衡的方式滿足這些特性���。
[0164][3.關(guān)于密鑰安排部的攻擊和對(duì)這些攻擊的先前對(duì)策的示例]
[0165]接下來(lái),將描述關(guān)于密鑰安排部的攻擊和對(duì)這些攻擊的先前對(duì)策的示例���。
[0166]對(duì)于每種類型的共享密鑰塊加密��,存在密鑰安排部的各種設(shè)計(jì)�。
[0167]數(shù)據(jù)加密部與密鑰安排部的安全性水平和實(shí)現(xiàn)性能存在很深的關(guān)系,但是一般認(rèn)為與數(shù)據(jù)加密部類似�����,在安全性水平與實(shí)現(xiàn)性能之間存在折中關(guān)系�����。
[0168]復(fù)雜非線性函數(shù)被引入到密鑰安排部中的加密示例包括CLEFIA (NPL3:索尼公司��,"The 128-bit Blockcipher CLEFIA Algorithm Specification",第 1.0 版�,2007)和 Camellia (NPL4:Aoki, Ichikawa, Kanda, Matsui, Moriai, Nakajima, Tokita, 〃128-bitBlock Encryption Camellia Algorithm Specification",第 2.0 版�����,2001)等�。這些具有對(duì)攻擊方法(諸如在密鑰 安排部中發(fā)生的相關(guān)密鑰攻擊)的高安全性水平,但是實(shí)現(xiàn)成本比較高�,并且存在當(dāng)特別是以硬件實(shí)現(xiàn)時(shí)電路規(guī)模變得非常大的問(wèn)題。另外�,AES是具有密鑰安排部的加密的示例,其中��,已引入了比較簡(jiǎn)單的非線性函數(shù)以提高實(shí)現(xiàn)性能,但是已知AES對(duì)相關(guān)密鑰攻擊(對(duì)于192位和256位密鑰的情況)是脆弱的�����。
[0169]此外�����,作為用于進(jìn)一步提高實(shí)現(xiàn)性能的技術(shù)示例的技術(shù)涉及僅具有線性函數(shù)的配置而不使用非線性函數(shù)���。在這些技術(shù)內(nèi)�,將秘密密鑰數(shù)據(jù)劃分成多個(gè)部分并且僅對(duì)其進(jìn)行替換的密鑰安排部不需要特別地以硬件實(shí)現(xiàn)的多個(gè)電路�����,因此具有高水平的實(shí)現(xiàn)性能����。這種密鑰安排部被稱為替換型密鑰安排部。
[0170]盡管替換型密鑰安排部具有高水平的實(shí)現(xiàn)性能����,但是存在具有關(guān)于其安全性水平的問(wèn)題的許多方法。
[0171]例如����,如圖13 所示��,關(guān)于塊加密 G0ST(NPL5:G0ST28147-89:Encryption, Decryption, and Message Authentication Code (MAC) Algorithms, RFC5830)的密鑰安排部具有下述結(jié)構(gòu):其將4n位的秘密密鑰K以每(n/2)位劃分成八個(gè)相等部分并且按順序?qū)⑦@些部分指定為回合密鑰�����。
[0172]由于密鑰安排部可以僅被配置為對(duì)于每個(gè)回合的選擇器而沒(méi)有相對(duì)于秘密密鑰K的任何計(jì)算�����,因此這具有需要以硬件實(shí)現(xiàn)的電路數(shù)量非常小的特征���。
[0173]然而��,如圖14所示���,GOST數(shù)據(jù)結(jié)構(gòu)采用Feistel結(jié)構(gòu)并且在回合密鑰的每個(gè)F函數(shù)之前執(zhí)行X0R��,因此已知這對(duì)于相關(guān)密鑰攻擊是脆弱的��,并且還已知攻擊將成功的實(shí)際概率為I�。
[0174](成功概率為I的對(duì)GOST的相關(guān)密鑰攻擊)
[0175]根據(jù)秘密密鑰KO獲得的回合密鑰被指定為RKO1, RKO2,...����,和RK0K�����,并且根據(jù)秘密密鑰Kl獲得的回合密鑰被指定為RKl1, RKl2,RK1K��。此時(shí)�,秘密密鑰KO與秘密密鑰Kl之間的差別被指定為秘密密鑰差別△����,并且每個(gè)回合密鑰之間的差別被指定為回合密鑰差別 A1, Λ2,...,和 Λκ�。
[0176]這里,如圖15所示���,假設(shè)攻擊者可以提供任意秘密密鑰差別Λ����。此時(shí)����,關(guān)于將復(fù)雜非線性函數(shù)引入到密鑰安排部中的CLEFIA、Camellia等�,每個(gè)回合密鑰差別Λ i不是唯一預(yù)定的����,因此關(guān)于數(shù)據(jù)加密部的攻擊是困難的�。
[0177]然而,如圖16所示�,根據(jù)具有替換型密鑰安排部的情況,每個(gè)回合密鑰差別八1是以每m位來(lái)劃分秘密密鑰差別Δ�����。關(guān)于例如GOST�����,當(dāng)Δ= (d, d, d, d, d, d����,d���,d) ( Λ是4η位�����,并且d是(n/2)位�,因此當(dāng)在GOST的情況下n=64時(shí),其分別變?yōu)?56位和32位)時(shí)����,所有回合密鑰差別\等于(1。
[0178]此時(shí)�,當(dāng)采用Feistel結(jié)構(gòu)并且在每個(gè)回合(Rl,R2, R3,…)中提供給每個(gè)F函數(shù)的回合密鑰之前執(zhí)行XOR時(shí)�����,通過(guò)如圖17所示提供(d�����,d)作為明文差別而使得到F函數(shù)的輸入差別為零���。當(dāng)?shù)紽函數(shù)的輸入差別為零時(shí)����,輸出差別總是零���,因此到下一回合函數(shù)的輸入差別是(d, d)�。
[0179]差別(d,d)對(duì)于所有回合函數(shù)類似地傳播�����,因此密文差別總是(d�����,d)���。
[0180]為此����,當(dāng)根據(jù)到GOST的明文P和秘密密鑰K的輸入獲得的密文被指定為C時(shí)����,
[0181]秘密密鑰K ( + ) (d, d, d, d, d, d, d, d),
[0182]明文P ( + ) (d, d),
[0183]被輸入以獲得密文C’���,其以概率I得到C’ =C ( + ) (d��,d)���。
[0184]獲得這種等同性的概率被稱為使用相關(guān)密鑰攻擊的識(shí)別攻擊的成功概率。需要說(shuō)明����,該概率關(guān)于抵抗相關(guān)密鑰攻擊強(qiáng)的塊加密實(shí)際上是充分小的。
[0185]另外����,例如,關(guān)于如圖1`8所示的稱為類型2—般化Feistel結(jié)構(gòu)的結(jié)構(gòu)類型�����,當(dāng)在使用替換型密鑰安排部的F函數(shù)之前對(duì)回合密鑰執(zhí)行XOR時(shí)�����,這類似地導(dǎo)致以概率I轉(zhuǎn)變的相關(guān)密鑰攻擊的配置����。
[0186]KASUMI (NPL6: 3rd Generation Partnership Project, TechnicalSpecification Group Services and System Aspects, 3G Security, Specificationof the 3GPP Confidentiality and Integrity Algorithms;Document2:KASUMISpecification, V9.0.0,2009)是具有其它種類的替換型密鑰安排部的加密的示例����。
[0187]然而,盡管KASUMI中的密鑰安排部具有高水平的實(shí)現(xiàn)性能����,但是還已知其對(duì)相關(guān)密鑰攻擊是脆弱的�����。
[0188][4.可以獲得對(duì)相關(guān)密鑰攻擊的安全性的密鑰安排部的替換類型]
[0189]考慮到前述問(wèn)題�,在下文中����,將描述可以獲得對(duì)相關(guān)密鑰攻擊的安全性水平而沒(méi)有高實(shí)現(xiàn)成本的替換型密鑰安排部的配置方法�����。
[0190]本方法首先將秘密密鑰K劃分成多個(gè)相等部分�,并且根據(jù)以下技術(shù)將其提供到數(shù)據(jù)加密部:
[0191](技術(shù)I)回合密鑰插入位置的改變:取代如現(xiàn)有技術(shù)中一樣在F函數(shù)之前(例如,如圖14和圖18所示的位置)對(duì)回合密鑰執(zhí)行X0R�,在F函數(shù)之后(例如,圖19和圖20所示的位置)進(jìn)行X0R����。
[0192](技術(shù)2)回合密鑰生成替換的改變:根據(jù)數(shù)據(jù)加密部的結(jié)構(gòu),使用對(duì)相關(guān)密鑰攻擊安全的替換方法生成回合密鑰��。
[0193]通過(guò)以此方式配置密鑰安排部可以獲得以下優(yōu)點(diǎn)���。[0194](優(yōu)點(diǎn)I)高實(shí)現(xiàn)性能
[0195]與通過(guò)使用替換型密鑰安排部的現(xiàn)有技術(shù)類似�,可以預(yù)期高水平的實(shí)現(xiàn)性能���。存在以下特別進(jìn)步:當(dāng)以硬件實(shí)現(xiàn)時(shí)��,可以減小所需電路的數(shù)量�����。
[0196](優(yōu)點(diǎn)2)通過(guò)改變回合密鑰的插入位置而增加安全性水平
[0197]對(duì)于圖19和圖20所示的配置,通過(guò)在F函數(shù)之后而不是在F函數(shù)之前對(duì)回合密鑰執(zhí)行X0R,即使使用替換型密鑰安排部����,也可以防止如現(xiàn)有技術(shù)GOST —樣相關(guān)密鑰攻擊以概率I成功��。
[0198]另外���,這些實(shí)現(xiàn)技術(shù)的使用還導(dǎo)致數(shù)據(jù)加密部的實(shí)現(xiàn)性能提高���。
[0199](優(yōu)點(diǎn)3)通過(guò)改變回合密鑰的替換方法而提高安全性水平
[0200]與根據(jù)現(xiàn)有技術(shù)的方法不同���,取代按順序來(lái)提供所劃分的秘密密鑰,以更換后的序列來(lái)適當(dāng)?shù)靥峁┻@些秘密密鑰�,以便具有對(duì)相關(guān)密鑰攻擊的抵抗性。
[0201]該序列與秘密密鑰K的位長(zhǎng)和劃分?jǐn)?shù)以及數(shù)據(jù)加密部的結(jié)構(gòu)關(guān)聯(lián)�,因此需要針對(duì)每個(gè)數(shù)據(jù)加密部結(jié)構(gòu)來(lái)設(shè)計(jì)密鑰安排部。
[0202]關(guān)于如圖19所示的每個(gè)回合執(zhí)行一個(gè)F函數(shù)的Feistel結(jié)構(gòu)�����,一個(gè)回合密鑰的長(zhǎng)度是(n/2)位,并且當(dāng)密鑰是2n位時(shí)�,秘密密鑰K被劃分成(n/2)位的4個(gè)相等部分,并且這些部分以每四個(gè)回合更換地提供�。
[0203]圖21不出了該設(shè)置�。
[0204]將描述如圖21所示的回合密鑰的提供處理。
[0205]秘密密鑰K是2n位的密鑰數(shù)據(jù)���。
[0206]該2n位的秘密密鑰K被劃分成四個(gè)相等部分���,并且生成四個(gè)回合密鑰Kl、K2�、K3和K4。
[0207]四個(gè)回合密鑰K1�、K2、K3和Κ4是(n/2)位的密鑰數(shù)據(jù)�。
[0208]這四個(gè)回合密鑰K1�、K2���、K3和K4在每個(gè)單位以不同的序列來(lái)使用����,其中�����,一個(gè)單位是四個(gè)回合�����。
[0209]圖21示出了前四個(gè)回合:關(guān)于Rl至R4����,按以下序列輸入和應(yīng)用回合密鑰Kl至Κ4。
[0210]回合Rl:回合密鑰Kl
[0211]回合R2:回合密鑰Κ2
[0212]回合R3:回合密鑰Κ3
[0213]回合R4:回合密鑰Κ4
[0214]接下來(lái)的四個(gè)回合:關(guān)于R5至R8���,按以下序列輸入和應(yīng)用回合密鑰Kl至Κ4�。
[0215]回合R5:回合密鑰Κ3
[0216]回合R6:回合密鑰Kl
[0217]回合R7:回合密鑰Κ4
[0218]回合R8:回合密鑰Κ2
[0219]接下來(lái)的四個(gè)回合:關(guān)于R9至R12����,按以下序列輸入和應(yīng)用回合密鑰Kl至Κ4��。
[0220]回合R9:回合密鑰Κ4
[0221]回合R10:回合密鑰Κ3
[0222]回合Rll:回合密鑰Κ2
[0223]回合R12:回合密鑰Kl[0224]以此方式��,以四個(gè)回合為單位���,應(yīng)用對(duì)于每個(gè)單位不同的回合密鑰輸入序列。
[0225]另外�����,可以以小于回合密鑰長(zhǎng)度的單位來(lái)進(jìn)行劃分����,因此還可以將2η位的秘密密鑰K以每(n/4)位劃分成八個(gè)相等部分��,并且在以每四個(gè)回合進(jìn)行更換的同時(shí)提供這些(n/4)位的數(shù)據(jù)單位中的兩個(gè)�。
[0226]這樣的示例是圖22所示的配置。
[0227]將描述圖22所示的回合密鑰的提供處理�。
[0228]秘密密鑰K是2n位的密鑰數(shù)據(jù)。
[0229]該2n位的秘密密鑰K被劃分成八個(gè)相等部分���,并且生成八個(gè)密鑰Kl��、K2���、K3���、K4、K5��、K6���、K7 和 Κ8����。
[0230]八個(gè)密鑰Kl至Κ8是(n/4)位的密鑰數(shù)據(jù)���。
[0231]由選自這八個(gè)密鑰Kl至K8的兩個(gè)密鑰的組合數(shù)據(jù)構(gòu)成的(n/2)位的回合密鑰:KxKy以在每個(gè)單位不同的序列來(lái)使用�,其中���,一個(gè)單位是四個(gè)回合���。
[0232]前四個(gè)回合如圖22所示:關(guān)于Rl至R4,按以下序列輸入和應(yīng)用作為密鑰數(shù)據(jù)Kl至K8的組合的回合密鑰KxKy��。
[0233]回合Rl:回合密鑰K1K2
[0234]回合R2:回合密鑰K3K4
[0235]回合R3:回合密鑰K5K6
[0236]回合R4:回合密鑰K7K8
[0237]接下來(lái)的四個(gè)回合:關(guān)于R5至R8,按以下序列輸入和應(yīng)用作為密鑰數(shù)據(jù)Kl至K8的組合的回合密鑰KxKy���。
[0238]回合R5:回合密鑰K3K4
[0239]回合R6:回合密鑰K2K7
[0240]回合R7:回合密鑰K1K6
[0241]回合R8:回合密鑰K5K8
[0242]接下來(lái)的四個(gè)回合:關(guān)于R9至R12�����,按以下序列輸入和應(yīng)用作為密鑰數(shù)據(jù)Kl至K8的組合的回合密鑰KxKy�。
[0243]回合R9:回合密鑰K2K7
[0244]回合R10:回合密鑰K4K5
[0245]回合Rll:回合密鑰K3K6
[0246]回合R12:回合密鑰K1K8
[0247]以此方式�����,以四個(gè)回合為單位��,應(yīng)用對(duì)每個(gè)單位不同的回合密鑰輸入序列����。
[0248]另外��,當(dāng)長(zhǎng)度是4n位時(shí)��,將秘密密鑰K以每(n/2)位劃分成八個(gè)相等部分���,并且在以每八個(gè)回合進(jìn)行更換的同時(shí)提供這些部分���。
[0249]這樣的示例是圖23所示的配置�����。
[0250]將描述如圖23所示的回合密鑰的提供處理��。
[0251]秘密密鑰K是4n位的密鑰數(shù)據(jù)����。
[0252]該4n位的秘密密鑰K被劃分成八個(gè)相等部分���,并且生成八個(gè)回合密鑰K1����、K2���、K3����、Κ4���、Κ5����、Κ6、Κ7 和 Κ8��。
[0253]八個(gè)回合密鑰Kl至Κ8是(n/2)位的密鑰數(shù)據(jù)�����。[0254]以對(duì)于每個(gè)單位不同的序列來(lái)使用這八個(gè)回合密鑰Kl至K8����,其中,一個(gè)單位是八個(gè)回合�����。
[0255]前八個(gè)回合如圖23所示:關(guān)于Rl至R8�,按以下序列輸入和應(yīng)用回合密鑰。
[0256]回合Rl:回合密鑰Kl
[0257]回合R2:回合密鑰Κ2
[0258]回合R3:回合密鑰Κ3
[0259]回合R4:回合密鑰Κ4
[0260]回合R5:回合密鑰Κ5
[0261]回合R6:回合密鑰Κ6
[0262]回合R7:回合密鑰Κ7
[0263]回合R8:回合密鑰Κ8
[0264]接下來(lái)的八個(gè)回合:關(guān)于R9至R16�����,按以下序列輸入和應(yīng)用回合密鑰�。
[0265]回合R9:回合密鑰Κ2
[0266]回合RlO:回合密鑰Κ5
[0267]回合Rll:回合密鑰Kl
[0268]回合Rl2:回合密鑰Κ4
[0269]回合Rl3:回合密鑰Κ8
[0270]回合R14:回合密鑰Κ6
[0271]回合R15:回合密鑰Κ3
[0272]回合R16:回合密鑰Κ7
[0273]以此方式�,以八個(gè)回合為單位,應(yīng)用對(duì)每個(gè)單位不同的回合密鑰輸入序列。
[0274]另外�,如圖20所示,關(guān)于在一個(gè)回合中同時(shí)執(zhí)行兩個(gè)F函數(shù)的��、具有4個(gè)數(shù)據(jù)行的一般化Feistel結(jié)構(gòu)��,回合密鑰是(n/4)位的兩個(gè)單位����。當(dāng)秘密密鑰K是2n位時(shí),其以每(n/4)位被劃分成八個(gè)相等部分���,并且在每四個(gè)回合進(jìn)行更換的同時(shí)提供(n/4)位的兩個(gè)單位����。
[0275]圖24中示出了該配置的示例���。
[0276]將描述如圖24所示的回合密鑰的提供處理����。
[0277]秘密密鑰K是2n位的密鑰數(shù)據(jù)�����。
[0278]該2n位的秘密密鑰K被劃分成八個(gè)相等部分,并且生成八個(gè)回合密鑰K1��、K2�����、K3��、Κ4�����、Κ5�、Κ6、Κ7 和 Κ8�����。
[0279]八個(gè)回合密鑰Kl至Κ8是(n/4)位的密鑰數(shù)據(jù)����。
[0280]以對(duì)每個(gè)單位不同的序列使用選自這八個(gè)回合密鑰Kl至K8的兩個(gè)回合密鑰,其中����,一個(gè)單位是四個(gè)回合。
[0281]前四個(gè)回合如圖24所示:關(guān)于Rl至R4����,按以下序列輸入和應(yīng)用兩個(gè)回合密鑰。
[0282]回合Rl:回合密鑰Kl和回合密鑰K2
[0283]回合R2:回合密鑰K3和回合密鑰K4
[0284]回合R3:回合密鑰K5和回合密鑰K6
[0285]回合R4:回合密鑰K7和回合密鑰K8
[0286]接下來(lái)的四個(gè)回合:關(guān)于R5至R8�,按以下序列輸入和應(yīng)用兩個(gè)回合密鑰:[0287]回合R5:回合密鑰K5和回合密鑰Kl
[0288]回合R6:回合密鑰K2和回合密鑰K6
[0289]回合R7:回合密鑰K7和回合密鑰K3
[0290]回合R8:回合密鑰K4和回合密鑰K8
[0291]接下來(lái)的四個(gè)回合:關(guān)于R9至R12,按以下序列輸入和應(yīng)用兩個(gè)回合密鑰����。
[0292]回合R9:回合密鑰K7和回合密鑰K5
[0293]回合RlO:回合密鑰Kl和回合密鑰K3
[0294]回合Rll:回合密鑰K4和回合密鑰K2
[0295]回合Rl2:回合密鑰K6和回合密鑰K8
[0296]以此方式,以四個(gè)回合為單位��,應(yīng)用對(duì)每個(gè)單位不同的回合密鑰輸入序列���。
[0297]另外���,作為用于進(jìn)一步提高實(shí)現(xiàn)效率的技術(shù),在關(guān)于左側(cè)F函數(shù)的回合密鑰RKr,�����。中使用來(lái)自以每(n/4)位被劃分成八個(gè)部分單位中的四個(gè)單位���,并且在關(guān)于右側(cè)F函數(shù)的回合密鑰RKu中使用剩余四個(gè)單位�����。
[0298]圖25中示出了該配置的示例���。
[0299]將描述如圖25所示的回合密鑰的提供處理����。
[0300]秘密密鑰K是2n位的密鑰數(shù)據(jù)�。
[0301]該2n位的秘密密鑰K被劃分成八個(gè)相等部分,并且生成八個(gè)回合密鑰K1����、K2、K3�、Κ4、Κ5����、Κ6、Κ7 和 Κ8�。
[0302]八個(gè)回合密鑰Kl至Κ8是(n/4)位的密鑰數(shù)據(jù)。
[0303]以對(duì)于每個(gè)單位不同的序列使用選自這八個(gè)回合密鑰Kl至K8的兩個(gè)回合密鑰��,其中,一個(gè)單位是四個(gè)回合���。
[0304]根據(jù)該示例,關(guān)于具有4個(gè)數(shù)據(jù)行的Feistel結(jié)構(gòu),在每個(gè)回合中對(duì)左側(cè)F函數(shù)應(yīng)用回合密鑰Kl至K4���,并且關(guān)于具有4個(gè)數(shù)據(jù)行的Feistel結(jié)構(gòu)���,對(duì)于每個(gè)回合對(duì)右側(cè)F函數(shù)應(yīng)用回合密鑰K5至K8����。
[0305]前四個(gè)回合如圖25所示:關(guān)于Rl至R4��,按以下序列輸入和應(yīng)用兩個(gè)回合密鑰��。
[0306]回合Rl:回合密鑰Kl和回合密鑰K5
[0307]回合R2:回合密鑰K2和回合密鑰K6
[0308]回合R3:回合密鑰K3和回合密鑰K7
[0309]回合R4:回合密鑰K7和回合密鑰K8
[0310]接下來(lái)的四個(gè)回合:關(guān)于R5至R8�����,按以下序列輸入和應(yīng)用兩個(gè)回合密鑰:
[0311]回合R5:回合密鑰K2和回合密鑰K5
[0312]回合R6:回合密鑰K4和回合密鑰K8
[0313]回合R7:回合密鑰Kl和回合密鑰K6
[0314]回合R8:回合密鑰K3和回合密鑰K7
[0315]接下來(lái)的四個(gè)回合:關(guān)于R9至R12��,按以下序列輸入和應(yīng)用兩個(gè)回合密鑰�����。
[0316]回合R9:回合密鑰K4和回合密鑰K5
[0317]回合RlO:回合密鑰K3和回合密鑰K7
[0318]回合Rll:回合密鑰K2和回合密鑰K8
[0319]回合R12:回合密鑰Kl和回合密鑰K6[0320]以此方式���,以四個(gè)回合為單位�����,應(yīng)用對(duì)每個(gè)單位不同的回合密鑰輸入序列�。
[0321]根據(jù)圖25所示的配置,取代以每四個(gè)回合為單位對(duì)所有八個(gè)回合密鑰Kl至K8的輸入順序進(jìn)行更換��,以這些當(dāng)中的四個(gè)�,也就是說(shuō),
[0322]回合密鑰:K1至K4
[0323]回合密鑰:K5至Κ8
[0324]以四個(gè)回合密鑰為單位來(lái)執(zhí)行這些回合密鑰的輸入順序的更換���。
[0325]根據(jù)該配置����,可以進(jìn)一步降低替換型密鑰安排部中所需的選擇器的成本����。
[0326]另外,關(guān)于如圖26所示的具有4個(gè)數(shù)據(jù)行的一般化Feistel結(jié)構(gòu)���,例如����,對(duì)于循環(huán)移位被修改為回合置換的模型(具有4個(gè)數(shù)據(jù)行的一般化Feistel+),關(guān)于本方法的密鑰安排部也是有效的�。
[0327]將描述如圖26所示的、關(guān)于具有4個(gè)數(shù)據(jù)行的一般化Feistel結(jié)構(gòu)循環(huán)移位被修改為回合置換的模型(具有4個(gè)數(shù)據(jù)行的一般化Feistel+)��。
[0328]圖26所示的配置的基本配置是如下配置:關(guān)于d行的一般化Feistel結(jié)構(gòu)���,η位的輸入數(shù)據(jù)以每n/d位被劃分成d個(gè)單位,其中��,作為基本配置����,對(duì)這些單位執(zhí)行F函數(shù)處理和XOR處理,并且對(duì)F函數(shù)的輸出執(zhí)行利用回合密鑰的計(jì)算的配置����。
[0329]此時(shí),
[0330]輸入到F函數(shù)的數(shù)據(jù)序列被指定為F函數(shù)輸入側(cè)數(shù)據(jù)序列���,
[0331]并且在XOR中使用的數(shù)據(jù)序列被指定為XOR數(shù)據(jù)序列�����。
[0332]在每個(gè)序列(每行)中傳遞的n/d位的數(shù)據(jù)再次進(jìn)一步被劃分成d/2個(gè)單位(在該情況下�����,劃分不需要為等分)��。
[0333]根據(jù)以下規(guī)則來(lái)分配對(duì)于每個(gè)序列(每行)再次被劃分成d/2個(gè)單位的數(shù)據(jù)�����。
[0334](I)F函數(shù)輸入數(shù)據(jù)序列總是被分配給對(duì)于下一回合函數(shù)的XOR數(shù)據(jù)序列
[0335](2) XOR數(shù)據(jù)序列總是被分配給對(duì)于下一回合函數(shù)的F函數(shù)輸入數(shù)據(jù)序列
[0336](3)被劃分成d/2個(gè)單位的數(shù)據(jù)序列被分配給對(duì)于d/2位置的下一回合函數(shù)的數(shù)據(jù)序列���,而在它們之間沒(méi)有任何重疊�����。
[0337]在這樣的分配之后�,被劃分成d/2個(gè)單位的數(shù)據(jù)被組合為一個(gè)數(shù)據(jù)單位�����。
[0338]這被重復(fù)所需要的次數(shù)�。
[0339]關(guān)于該循環(huán)移位已被修改為回合置換的模型(具有4個(gè)數(shù)據(jù)行的一般化Feistel+),根據(jù)本方法的密鑰安排部也是有效的���。
[0340]具體地��,作為與圖25類似的更換技術(shù)的圖27所示的配置是適當(dāng)示例���。
[0341]也就是說(shuō)��,在關(guān)于左側(cè)F函數(shù)的回合密鑰RKy中使用來(lái)自以每(n/4)位被劃分成八個(gè)相等部分的秘密密鑰K的四個(gè)單位��,并且在關(guān)于右側(cè)F函數(shù)的回合密鑰RKy中使用剩余四個(gè)單位����。
[0342]將描述如圖27所示的回合密鑰的提供處理�。
[0343]秘密密鑰K是2n位的密鑰數(shù)據(jù)���。
[0344]該2n位的秘密密鑰K被劃分成八個(gè)相等部分�����,并且生成八個(gè)回合密鑰K1�、K2��、K3��、Κ4、Κ5���、Κ6��、Κ7 和 Κ8����。
[0345]八個(gè)回合密鑰Kl至Κ8是(n/4)位的密鑰數(shù)據(jù)�。
[0346]以對(duì)每個(gè)單位不同的序列使用選自這八個(gè)回合密鑰Kl至K8的兩個(gè)回合密鑰,其中���,一個(gè)單位是四個(gè)回合���。
[0347]根據(jù)本示例,關(guān)于循環(huán)移位已被修改為回合置換的具有4個(gè)數(shù)據(jù)行的一般化Feistel+結(jié)構(gòu)���,在每個(gè)回合中對(duì)兩個(gè)F函數(shù)應(yīng)用選自回合密鑰Kl至K8的回合密鑰中的兩個(gè)�����。
[0348]前四個(gè)回合如圖27所示:關(guān)于Rl至R4�����,按以下序列輸入和應(yīng)用兩個(gè)回合密鑰�����。
[0349]回合Rl:回合密鑰Kl和回合密鑰K5
[0350]回合R2:回合密鑰K2和回合密鑰K6
[0351]回合R3:回合密鑰K3和回合密鑰K7
[0352]回合R4:回合密鑰K7和回合密鑰K8
[0353]接下來(lái)的四個(gè)回合:關(guān)于R5至R8���,按以下序列輸入和應(yīng)用兩個(gè)回合密鑰��。
[0354]回合R5:回合密鑰K2和回合密鑰K5
[0355]回合R6:回合密鑰K4和回合密鑰K8
[0356]回合R7:回合密鑰Kl和回合密鑰K6
[0357]回合R8:回合密鑰K3和回合密鑰K7
[0358]接下來(lái)的四個(gè)回合:關(guān)于R9至R12�,按以下序列輸入和應(yīng)用兩個(gè)回合密鑰�����。
[0359]回合R9:回合密鑰K4和回合密鑰K5
[0360]回合RlO:回合密鑰K3和回合密鑰K7
[0361]回合Rll:回合密鑰K2和回合密鑰K8
[0362]回合R12:回合密鑰Kl和回合密鑰K6
[0363]以此方式����,以四個(gè)回合為單位�����,應(yīng)用對(duì)每個(gè)單位不同的回合密鑰輸入序列�。
[0364]接下來(lái)�,示出了在當(dāng)秘密密鑰的位長(zhǎng)不是一個(gè)回合所需的回合密鑰的位長(zhǎng)的整數(shù)倍的情況下���,對(duì)于替換型密鑰安排部的示例配置。
[0365]例如��,圖28示出了當(dāng)秘密密鑰是(5n/4)位并且一個(gè)回合所需的回合密鑰是(n/2)位時(shí)密鑰安排部的配置方法���。
[0366]根據(jù)該配置�,首先�,執(zhí)行該配置的替換和擴(kuò)展以使得其變?yōu)橐粋€(gè)回合所需的回合密鑰的位長(zhǎng)的整數(shù)倍。此后�����,采用按順序進(jìn)行提供的配置���。
[0367]將描述如圖28所示的回合密鑰的提供處理����。
[0368]秘密密鑰K是(5/4) η位的密鑰數(shù)據(jù)��。
[0369]首先�����,替換型密鑰安排部基于該(5/4) η位的密鑰數(shù)據(jù)生成與回合密鑰的位長(zhǎng)相等的五個(gè)回合密鑰Κ1、Κ2�、Κ3、Κ4和Κ5�,
[0370]作為應(yīng)用于每個(gè)回合的回合密鑰而輸入的、選自這些回合密鑰Kl至Κ5的兩個(gè)回合密鑰被應(yīng)用于兩個(gè)F函數(shù)���。
[0371]前五個(gè)回合如圖28所示:關(guān)于Rl至R5��,按以下序列輸入和應(yīng)用兩個(gè)回合密鑰�。
[0372]回合Rl:回合密鑰Κ3和回合密鑰Κ4
[0373]回合R2:回合密鑰Kl和回合密鑰Κ2
[0374]回合R3:回合密鑰Κ3和回合密鑰Κ4
[0375]回合R4:回合密鑰Κ5和回合密鑰Κ5
[0376]回合R5:回合密鑰Kl和回合密鑰Κ2
[0377]關(guān)于接下來(lái)的五個(gè)回合R6至RlO以及后續(xù)的五個(gè)回合Rll至R15��,按類似序列輸入和應(yīng)用兩個(gè)回合密鑰��。
[0378]將進(jìn)行先前描述的優(yōu)點(diǎn)“(優(yōu)點(diǎn)3)通過(guò)改變回合密鑰的替換方法來(lái)提高安全性水平”的詳細(xì)描述�����。
[0379]首先���,將進(jìn)行差別概率、有效F函數(shù)和最小有效F函數(shù)數(shù)量的定義���。
[0380]差別攻擊是使用以高概率從某種輸入差別傳播到某種輸出差別的攻擊����。也就是說(shuō),當(dāng)考慮安全性時(shí)����,需要指示不包含以高概率傳播的輸入差別和輸出差別的、輸入差別和輸出差別的組合�。
[0381]相關(guān)密鑰差別攻擊是使用以高概率從某種輸入差別和某種秘密密鑰差別傳播到某種輸出差別的類似攻擊。也就是說(shuō)�,當(dāng)考慮安全性時(shí),需要指示不包含以高概率傳播的輸入差別����、秘密密鑰差別和輸出差別的,輸入差別�����、秘密密鑰差別和輸出差別的組合�。某種輸入差別傳播到某種輸出差別的這種概率以及某種輸入差別和某種秘密密鑰差別傳播到某種輸出差別的概率是差別概率的定義。如之前所述�����,存在關(guān)于GOST的該差別概率為I的情況。
[0382]已知這樣的差別概率僅根據(jù)為其提供非零輸入差別的非線性函數(shù)(F函數(shù))而減小����。為其提供該非零輸入差別的非線性函數(shù)(F函數(shù))是有效F函數(shù)的定義。有效F函數(shù)的數(shù)量與相對(duì)于差別攻擊的安全性水平密切相關(guān)��,因此可以認(rèn)為如果存在關(guān)于某種輸入差別的多個(gè)有效F函數(shù)����,則這樣是充分安全的。
[0383]如果確定了一個(gè)輸入差別���,則可以確定有效F函數(shù)的數(shù)量�。根據(jù)剛才所述的�����,應(yīng)理解���,需要根據(jù)當(dāng)考慮相對(duì)于差別攻擊的安全性時(shí)所提供的輸入差別的種類而確定應(yīng)該指示多少有效F函數(shù)����。關(guān)于每種這樣的輸入差別的有效F函數(shù)的數(shù)量的最小值是最小有效F函數(shù)數(shù)量的定義���。
[0384]例如����,關(guān)于如圖20所示的在XOR中使用關(guān)于回合密鑰的F函數(shù)的輸出的����、具有4個(gè)數(shù)據(jù)行的一般化Feistel結(jié)構(gòu),以下(表I)示出了當(dāng)采用根據(jù)現(xiàn)有技術(shù)的方法以使得回合密鑰如圖29所示按順序簡(jiǎn)單輸入時(shí)����,與考慮了相關(guān)密鑰差別之后的回合數(shù)對(duì)應(yīng)的最小有效F函數(shù)數(shù)量。
[0385][表 I]
[0386]^^ι 回合數(shù) w^Fwmmm
__^PvjL___Jt_
Iδ?4
5OI 174
3OI Il4 5OI?5 6— I215...................................................................................................................0J...................................................................................................................1..............................................................1..............................................................................................................................................£...............................................................1JLIJmm....................................................ο...............................................................................................................................................................................1.......................................?........................................................................................................c...............................................................1IIJ 135
9— 2246...............................................................P2I256
11— 2I— 26— 6
_jI27I
_ιI287..................................................14.............................................................................................................3.............................................................1..................................29.........................................................................................7...............................................................153I307
[0387]在該方法的情況下�����,應(yīng)理解�,例如,對(duì)于保證相對(duì)于相關(guān)密鑰差別攻擊的安全性所需的有效F函數(shù)的數(shù)量是七的加密�,需要至少28回合。
[0388]例如在諸如圖20所示的具有4個(gè)數(shù)據(jù)行的一般化Feistel結(jié)構(gòu)中的�����、如圖24所示的根據(jù)本公開(kāi)的處理���,也就是說(shuō)�����,關(guān)于替換型密鑰安排部����,(表2)示出了關(guān)于以預(yù)定回合單位執(zhí)行改變輸入密鑰序列的處理的配置,考慮到相關(guān)密鑰差別時(shí)相應(yīng)的最小有效F函數(shù)數(shù)量和回合數(shù)���。
[0389][表2]
[0390]....................................................................^ m..................ι..................................................................................................M
iOI U7
-1πS
5I188.........................................................................................................4...................................................................................................................................................................................................................................1..........................................................................................................................1...........................................................................19...............................................................................................................................................................................................9.......................................................................................................................................................................................................................................1..........................................................................................................^...............................................................g....................................................................................................................................................................................................20...............................................................................................................................................................................................9..............................................................................................................................8II 2311
^^I2412
10~~25
114I2612
1242713
135I2814
PII2915
157I3016
[0391]根據(jù)先前描述的表2��,應(yīng)理解����,對(duì)于保證相對(duì)于相關(guān)密鑰差別攻擊的安全性所需的有效F函數(shù)的數(shù)量是例如七的加密,需要至少15回合�。
[0392]根據(jù)先前的表1,對(duì)于保證相對(duì)于相關(guān)密鑰差別攻擊的安全性所需的有效F函數(shù)的數(shù)量是七的加密��,需要至少28回合����。
[0393]根據(jù)本公開(kāi)的處理,也就是說(shuō)�,關(guān)于替換型密鑰安排部��,應(yīng)理解����,與通過(guò)實(shí)現(xiàn)以預(yù)定回合單位執(zhí)行改變輸入密鑰序列的處理的配置的現(xiàn)有技術(shù)方法相比���,回合數(shù)減少了 13。
[0394]以此方式�,根據(jù)本公開(kāi)的處理,也就是說(shuō)���,關(guān)于替換型密鑰安排部��,應(yīng)理解�����,與通過(guò)實(shí)現(xiàn)以預(yù)定回合單位執(zhí)行用于改變輸入密鑰序列的處理的配置�����、不執(zhí)行這種密鑰更換的現(xiàn)有技術(shù)方法相比�,可以保證較大數(shù)量的有效F函數(shù)�。
[0395]類似地����,考慮如圖26所示的具有4個(gè)數(shù)據(jù)行的一般化Feistel+結(jié)構(gòu)的模型���,其中����,具有4個(gè)數(shù)據(jù)行的一般化Feistel結(jié)構(gòu)中的循環(huán)移位被修改為回合置換���。
[0396]當(dāng)關(guān)于該配置采用簡(jiǎn)單按順序(圖30)輸入回合密鑰的現(xiàn)有技術(shù)方法時(shí)�,考慮到相關(guān)密鑰差別的情況下的相應(yīng)最小有效F函數(shù)數(shù)量和回合數(shù)與先前描述的(表1)中的值相同��。
[0397]在該方法的情況下��,應(yīng)理解��,對(duì)于保證相對(duì)于相關(guān)密鑰差別攻擊的安全性所需的有效F函數(shù)的數(shù)量是例如七的加密�����,需要至少28回合���。
[0398]另外���,關(guān)于在諸如圖26所示的具有4個(gè)數(shù)據(jù)行的一般化Feistel+結(jié)構(gòu)中的���、如圖24所示的根據(jù)本發(fā)明實(shí)現(xiàn)密鑰安排部的配置的情況,以下(表3)示出了考慮到相關(guān)密鑰差另IJ的情況下的相應(yīng)最小有效F函數(shù)數(shù)量和回合數(shù)����。
[0399][表3]
[0400]
【權(quán)利要求】
1.一種加密處理裝置,包括: 加密處理部�����,被配置成將要進(jìn)行數(shù)據(jù)處理的數(shù)據(jù)的配置位劃分成多行并輸入�,并且對(duì)各行數(shù)據(jù)重復(fù)執(zhí)行應(yīng)用回合函數(shù)的數(shù)據(jù)轉(zhuǎn)換處理作為回合計(jì)算�����;以及 密鑰安排部�����,被配置成將回合密鑰輸出到所述加密處理部中的回合計(jì)算執(zhí)行單元��; 其中���,所述密鑰安排部是替換型密鑰安排部�,所述替換型密鑰安排部被配置成通過(guò)將預(yù)先存儲(chǔ)的秘密密鑰劃分成多個(gè)部分而生成多個(gè)回合密鑰或回合密鑰配置數(shù)據(jù); 并且其中���,所述多個(gè)回合密鑰或根據(jù)所述回合密鑰配置數(shù)據(jù)的組合生成的多個(gè)回合密鑰被輸出到在所述加密處理部中順序執(zhí)行的回合計(jì)算執(zhí)行單元�,以使得不重復(fù)恒定序列��。
2.根據(jù)權(quán)利要求1所述的加密處理裝置�����,其中���,所述密鑰安排部以關(guān)于所述回合計(jì)算執(zhí)行單元的多個(gè)回合為單位而改變與所述回合計(jì)算執(zhí)行單元對(duì)應(yīng)的所述多個(gè)回合密鑰的輸入序列�����。
3.根據(jù)權(quán)利要求1所述的加密處理裝置����,其中�,所述加密處理部包括:F函數(shù)執(zhí)行單元,被配置成輸 入被劃分成多行的數(shù)據(jù)并且包括非線性轉(zhuǎn)換處理和線性轉(zhuǎn)換處理���;以及計(jì)算單元�,被配置成執(zhí)行對(duì)所述F函數(shù)執(zhí)行單元的輸出應(yīng)用回合密鑰的計(jì)算。
4.根據(jù)權(quán)利要求1所述的加密處理裝置����,其中,所述密鑰安排部將預(yù)先存儲(chǔ)的秘密密鑰劃分成多個(gè)部分����,并且生成位數(shù)與輸入到所述回合計(jì)算執(zhí)行單元的回合密鑰相同的多個(gè)回合密鑰。
5.根據(jù)權(quán)利要求1所述的加密處理裝置���,其中,所述密鑰安排部將預(yù)先存儲(chǔ)的秘密密鑰劃分成多個(gè)部分并生成位數(shù)小于輸入到所述回合計(jì)算執(zhí)行單元的回合密鑰的多個(gè)回合密鑰���,并且執(zhí)行所述多個(gè)回合密鑰配置數(shù)據(jù)的多個(gè)組合�,并生成位數(shù)與輸入到所述回合計(jì)算執(zhí)行單元的回合密鑰相同的回合密鑰��。
6.根據(jù)權(quán)利要求1所述的加密處理裝置���,其中���,所述密鑰安排部關(guān)于在所述加密處理部中順序地執(zhí)行的回合計(jì)算執(zhí)行單元���,并列輸出被并行地應(yīng)用于所述回合計(jì)算執(zhí)行單元的多個(gè)回合密鑰。
7.根據(jù)權(quán)利要求1所述的加密處理裝置�,其中,所述密鑰安排部包括至少一個(gè)選擇器���,所述至少一個(gè)選擇器被配置成執(zhí)行與所述回合計(jì)算執(zhí)行單元對(duì)應(yīng)的密鑰選擇提供處理�。
8.根據(jù)權(quán)利要求1所述的加密處理裝置����,其中,所述密鑰安排部通過(guò)對(duì)所述多個(gè)回合密鑰或所述回合密鑰配置數(shù)據(jù)進(jìn)行分類來(lái)設(shè)置多個(gè)組�����,并且以所設(shè)置的組為單位來(lái)執(zhí)行與所述回合計(jì)算執(zhí)行單元對(duì)應(yīng)的密鑰提供序列的控制處理��。
9.根據(jù)權(quán)利要求8所述的加密處理裝置���,其中�����,所述密鑰安排部包括以所述組為單位的選擇器��。
10.根據(jù)權(quán)利要求1所述的加密處理裝置�����,其中���,所述加密處理部執(zhí)行用于將作為輸入數(shù)據(jù)的明文轉(zhuǎn)換為密文的加密處理��,或執(zhí)行用于將作為所述輸入數(shù)據(jù)的密文轉(zhuǎn)換為明文的解密處理���。
11.一種要在加密處理裝置中執(zhí)行的加密處理方法,所述加密處理方法包括: 加密處理步驟,其中�����,加密處理部被配置成將要進(jìn)行數(shù)據(jù)處理的數(shù)據(jù)的配置位劃分成多行并輸入��,并且對(duì)各行數(shù)據(jù)重復(fù)執(zhí)行應(yīng)用回合函數(shù)的數(shù)據(jù)轉(zhuǎn)換處理作為回合計(jì)算����;以及 密鑰安排步驟��,其中,密鑰安排部被配置成將回合密鑰輸出到所述加密處理部中的回合計(jì)算執(zhí)行單元�����;其中����,所述密鑰安排部是替換型密鑰安排部,所述替換型密鑰安排部被配置成通過(guò)將預(yù)先存儲(chǔ)的秘密密鑰劃分成多個(gè)部分而生成多個(gè)回合密鑰或回合密鑰配置數(shù)據(jù)���; 并且其中�����,所述多個(gè)回合密鑰或根據(jù)所述回合密鑰配置數(shù)據(jù)的組合生成的多個(gè)回合密鑰以使得不重復(fù)恒定序列的設(shè)置被輸出到在所述加密處理部中順序執(zhí)行的回合計(jì)算執(zhí)行單元�����。
12.一種在加密處理裝置中執(zhí)行加密處理的程序�,所述程序包括: 加密處理步驟���,其中�����,加密處理部被配置成將要進(jìn)行數(shù)據(jù)處理的數(shù)據(jù)的配置位劃分成多行并輸入�����,并且對(duì)各行數(shù)據(jù)重復(fù)執(zhí)行應(yīng)用回合函數(shù)的數(shù)據(jù)轉(zhuǎn)換處理作為回合計(jì)算���;以及密鑰安排步驟����,其中���,密鑰安排部被配置成將回合密鑰輸出到所述加密處理部中的回合計(jì)算執(zhí)行單元����; 其中���,所述密鑰安排部是替換型密鑰安排部���,所述替換型密鑰安排部被配置成通過(guò)將預(yù)先存儲(chǔ)的秘密密鑰劃分成多個(gè)部分而生成多個(gè)回合密鑰或回合密鑰配置數(shù)據(jù); 并且其中�����,所述多個(gè)回合密鑰或根據(jù)所述回合密鑰配置數(shù)據(jù)的組合生成的多個(gè)回合密鑰以使得不重復(fù)恒定序 列的設(shè)置被輸出到在所述加密處理部中順序執(zhí)行的回合計(jì)算執(zhí)行單元�����。
【文檔編號(hào)】H04L9/06GK103621007SQ201280014184
【公開(kāi)日】2014年3月5日 申請(qǐng)日期:2012年2月20日 優(yōu)先權(quán)日:2011年3月28日
【發(fā)明者】渋谷香士, 三津田敦司, 秋下徹, 五十部孝典, 白井太三, 樋渡玄良 申請(qǐng)人:索尼公司