マルチレーン高速暗号化及び復号
暗号化システムは、ブロック暗号生成器(130)及びストリーム暗号生成器(150)の組み合わせを含むよう構成される。ブロック暗号生成器(130)は、1つ又は複数のストリーム暗号生成器(150)の鍵を周期的に変更するために使用する、変更する鍵(149)を提供する。好ましくは、AESブロック暗号器(135)は、1つ又は複数のSNOW−2のうちの1つの鍵を周期的に変更するために使用される576ビット鍵(149)のストリームを供給するために使用される128ビットの暗号(139)の組を行う。ストリーム暗号生成器(150)の出力(159)は、前述の複数レーンのデータ(263‐264)に対する、ブロック暗号(130)及びストリーム暗号(150)の最適化された編成を用いて複数の入力データ・ストリーム(263−264)、又はデータの「レーン」を暗号化するために使用される。
【発明の詳細な説明】
【技術分野】
【0001】
本出願は、西暦2005年11月23日付出願の米国特許仮出願第60/739219号の利益を主張する。
【0002】
本発明は、通信及びデータ・セキュリティの分野に関し、特に、高速マルチレーン並列データ・チャネルの暗号化及び復号を容易にする方法及びシステムに関する。
【背景技術】
【0003】
ストリーム暗号は、入力ストリームが順次(一般に、一度に一データ単位(ワード/バイト/ビット))暗号化され、後続データ単位の変換が暗号化中に変わる暗号である。一方、ブロック暗号は、変わらない固定の変換によって大容量のデータ・ブロックを処理する暗号である。すなわち、特定のデータ・ブロックのブロック暗号、及び特定の暗号鍵は常に、同じ暗号化出力ブロックをもたらす。一方、ストリーム暗号の出力は、データ単位が暗号化される時点での暗号システムの状態に依存する。
【0004】
一般に、ストリーム暗号は、入力ストリームを、生成された鍵ストリームと合成する。鍵ストリームは、特定の暗号鍵又は暗号鍵組に基づいて疑似乱数的に生成される。鍵ストリームの順次生成は一般に、データ・ブロックのブロック暗号化よりも複雑でない動作であるので、ストリーム暗号は、ブロック暗号よりもかなり高速であり、必要なハードウェア構成部分はかなり少なくなる。
【0005】
ストリーム暗号は、長さが未知のデ―タのストリーム(電話の会話、ストリーミング・ビデオ等)の高速暗号化/復号によく適している。前述のデータに対してブロック暗号が使用される場合、ブロックを埋める前に終結する入力ストリームのパディングを設けなければならない。
【0006】
多くのストリーム暗号は、クロック・サイクル毎にマルチビット出力を生成するよう構成される。例えば、Ekdahl及びJohansson (Lund University)によるSNOW暗号及びそれに取って代わるSNOW−2は、サイクル毎に32ビット語を出力するよう構成された状態機械を駆動させる線形フィードバック・シフト・レジスタを使用する。前述のマルチビット暗号出力を効果的に利用するために、並列暗号化をしばしば用いる。並列暗号化では、入力ストリームは、出力暗号と同じビット数を有するデータ組に逆多重化される。データ組は、マルチビット暗号を用いて暗号化され、次いで、入力ストリームと同じ形式の出力ストリームに多重化される。例えば、入力ストリームが、8ビット幅のバス上にデータ・バイトを有し、32ビット暗号語が利用可能な場合、バス上の4つの8ビット・バイトの各組は32ビット語に拡散させられ、32ビット語は、32ビット暗号語を用いて暗号化され、結果として生じる32ビット出力語は、4つの入力バイトの暗号化に対応する4つの出力バイトに逆拡散させられる。前述の実施例では、暗号生成器は、暗号生成の最大4倍の速度の、入力ストリームのスループット・レートをサポートすることが可能である。
【0007】
場合によっては、入力データ・レートは、特定の暗号生成器がサポートすることが可能な最大速度よりもかなり低いことがあり得る。前述の場合、複数のデータ・ストリームを単一の暗号生成器によってサポートすることができる。前述の例では、8ビット幅の入力データ・ストリームの速度が32ビット暗号生成器の速度の2倍である場合、前述の2つの8ビット・データ・ストリームをこの32ビット暗号生成器によってサポートすることが可能である。8ビット幅の入力データ・ストリームの速度が32ビット暗号生成器の速度に等しい場合、前述の4つの入力データ・ストリームを暗号生成器によってサポートすることが可能である等である。
【0008】
しかし、全数探索に至らない探索を使用する識別攻撃を受ける可能性がより高いので、ストリーム暗号はブロック暗号よりもセキュアでないことが一般に知られている。更に、鍵ストリームが反復された場合、ストリーム暗号は全て、攻撃に対して脆弱である。理想的には、128ビット鍵の場合、鍵ストリームの反復長は2128ビットである(大半のアプリケーションでは許容可能である)が、毎秒100Mbの暗号化レートでは、前述の暗号のリサイクル時間は、25分未満になり、これにより、長時間にわたるアプリケーション(ストリーム・ビデオなど)の場合、暗号が不適切になる。一方、ブロック暗号の計算量により、前述の消費者向アプリケーションの場合、費用がかかりすぎるか、又は遅すぎることになる。
【発明の開示】
【発明が解決しようとする課題】
【0009】
ストリーム暗号の速度及びブロック暗号のセキュリティを備える暗号を提供することが効果的になる。
【課題を解決するための手段】
【0010】
本発明の一実施例によれば、暗号システムは、ブロック暗号及びストリーム暗号の組み合わせを備える。ブロック暗号は、1つ又は複数のストリーム暗号の鍵を周期的に変更するために使用する、変更する鍵を提供する。好ましくは、AES(米国標準技術研究所(NIST)による次世代標準暗号化方式)ブロック暗号は、1つ又は複数のSNOW−2ストリーム暗号の鍵を変更するために使用する576ビット鍵ストリームを供給するために使用される128ビット鍵の組を提供する。ストリーム暗号の出力は、前述の複数レーンのデータに対する、ブロック暗号及びストリーム暗号の最適化された編成を用いて複数の入力データ・ストリーム、又はデータの「レーン」を暗号化するために使用される。
【発明を実施するための最良の形態】
【0011】
本発明は、添付図面を参照して、例として更に詳細に説明する。添付図面を通して、同じ参照符号は同じ構成要素、又は実質的に同じ機能を行う構成要素を表す。添付図面は、例証の目的で含めており、本発明の範囲を限定することを意図するものでない。
【0012】
以下の説明では、限定ではなく説明の目的で、特定のアーキテクチャ、インタフェース、手法等などの特定の詳細を表して、本発明が徹底的に分かるようにしている。しかし、前述の特定の詳細から逸脱する他の実施例において本発明を実施することが可能であることが当業者には明らかとなろう。話を単純かつ明瞭にする目的で、周知の装置、回路及び手法の詳細な説明を割愛して、不必要な詳細で本発明の説明をわかりにくくすることがないようにしている。
【実施例】
【0013】
図1Aは、ストリーム暗号生成器150の語長よりも小さい語長を有する入力ストリーム163のマルチビット並列暗号化のための、本発明の一実施例による例示的なブロック暗号及びストリーム暗号システムを示す。例えば、入力ストリームは、8ビット・データ・バイトを含み、SNOW−2ストリーム暗号生成器を用いてストリーム暗号を供給する。当該技術分野において知られているように、SNOW−2処理は、32ビット幅の暗号出力語159の系列を生成するための初期状態として576ビット鍵149を用いる。
【0014】
混合装置160は、ストリーム暗号生成器150の暗号出力語159を入力ストリーム163と混合することにより、入力ストリーム163の暗号化を行うために使用される。ストリーム暗号生成器150からの32ビット幅の暗号語159の系列の使用を最適化するために、8ビット入力バイト163を、1入力4出力逆多重化器164で「拡散」させて4つの8ビット・チャネルを形成する。32ビット暗号語159は、同様に、4つの8ビット暗号バイト(チャネル毎に一暗号バイト)に区分される。各チャネルでは、混合器165が、チャネル上の8ビット・データ・バイトを、チャネルに割り当てられた暗号バイトと合成して暗号化バイトを生成する。好ましくは、混合器165は、排他的OR演算を行ってデータ・バイト及び暗号バイトを合成する。4つのチャネルの暗号化バイトを4入力1出力多重化器164’に供給して、入力ストリーム163における各バイトに対応する暗号化出力バイト169の系列を形成する。
【0015】
図1Bは、図1Aの暗号化システムの動作に対応するタイミング図を示す。第1の行は、入力ストリーム163におけるバイトの系列を示す。第2の行は、ストリーム暗号生成器150の暗号出力語159の系列を示す。各暗号出力語159を用いて入力ストリーム163の4バイトを符号化するので、ストリーム暗号生成器からの出力語の系列は、入力バイト・レートの1/4の周波数を有する。すなわち、図1Aでは、各暗号語を供給するために使用される暗号クロックCLK−2 151は、各入力データ・バイトを入力するために使用されるクロックCLK−3 161の1/4の周波数で動作させる。
【0016】
図1Aの暗号化チャネル構造は、参照を簡単にするために表されているに過ぎず、他の構造を用いることもできることが当業者により、認識されよう。例えば、入力ストリーム163が16ビット語を備える場合、逆多重化器164は、2つの16ビット・チャネルを設けるよう構成される。この場合、暗号クロックCLK−2 151は、各入力データ語を入力するために使用されるクロックCLK3 161の周波数の半分で動作させる。同様に、図4及び図5に関して以下に更に説明する例証的な多重化器構造の代わりに、直列レジスタ構成や他の構造を使用することができる。
【0017】
本発明の一局面によれば、ストリーム暗号生成器150は、その576ビット鍵149をブロック暗号生成器130から受け取る。好ましくは、ブロック暗号生成器130は、ユーザが暗号化セッションを起動させる都度、別の鍵を生成するセッション鍵生成器110からその鍵を受け取る。好ましくは、セッション鍵は、セキュリティを向上させるために定期的に更新される。
【0018】
図1Aの例示的な暗号化システムでは、AES暗号器135は、制御クロックCLK−1 131の各サイクルにおいて、ランニング・カウンタ132の現在の内容の暗号化である128ビットのブロック暗号出力139を生成する。前述の通り、例示的なSNOW−2ストリーム暗号生成器は576ビット鍵を使用する。そういうものとして、制御クロックCLK−1 131の5サイクルが、この鍵を形成するために十分なビット数を供給するために必要である。576ビット鍵は、AES暗号器135からの4 1/2の128ビット暗号語に対応し、ブロック暗号生成器130は、前述の暗号語のうちの3 1/2を記憶するよう構成されたレジスタ140を含む。第5の128ビット暗号語が生成されると、この現在の語、及びレジスタ140に先行して記憶されている3 1/2語を用いて576ビット出力が供給される。
【0019】
前述の通り、ストリーム暗号生成器は一般に、ブロック暗号生成器よりもかなり速いが、ストリーム暗号は、それ自体が反復するので、ブロック暗号よりもセキュアでない。攻撃者が、生成された暗号系列の一部又は全てを求めることができる場合、攻撃者は、求められた系列の各反復において暗号化マテリアルを復号することが可能になる。好ましくは、ストリーム暗号生成器150のこの脆弱性を避けるために、新たな576ビット鍵149が、ブロック暗号生成器130によって生成され、新たな576ビット鍵149は、ストリーム暗号生成器150自体が反復する前にストリーム暗号生成器150の鍵を変更するために使用される。このようにして、ストリーム暗号符号化された出力の先行セグメントの復号は、将来のセグメントの復号を容易にするために使用することが可能でない。
【0020】
図1Cは、図1Aの例示的な実施例における鍵149の生成及び使用の例示的なタイミング系列を示す。各クロック・サイクルCLK−1におけるAES暗号器135の128ビット・ブロック暗号出力139は、暗号語A0、A1、A2等として識別される。図1Aのレジスタ140の内容は、図1Cにおいて、参照を容易にするためにストリーム142として識別している。第4の出力A3後のサイクルでは、現時の出力A4及びストリーム142が、ストリーム暗号生成器150の鍵の変更に利用可能である。その後、別の5つの暗号語A5乃至A9が、生成され、ストリーム暗号生成器150の鍵を変更するために使用される。前述の通り、この鍵の変更は好ましくは、ストリーム暗号生成器150自体が反復する状態になる前に行われる。
【0021】
当該技術分野における当業者は、5つの暗号語の最初の生成後、新たな暗号語それぞれが生成されるにつれ、新たな鍵をストリーム暗号生成器150に利用可能にすることが可能であり、新たな暗号語は、先行鍵のビットの部分集合を置き換える。しかし、先行鍵のビット全てが、新たな暗号語によって置き換えられた後に鍵を変更することにより、最適なセキュリティが得られる。
【0022】
図2Aは、「デュアルライン」暗号化システムの例示的な実施例を示す。このシステムでは、前述のセッション鍵生成器110、ブロック暗号生成器130及びストリーム暗号生成器150を備える単一のブロックストリーム暗号システムを使用して2つの入力ストリーム263、264が暗号化される。
【0023】
図2Aの実施例では、クロックCLK−2 251のレートが2倍にされている。よって、デュアルレーン混合装置260の2つの入力ストリーム263、264の暗号化に2つの暗号語259が利用可能である。しかし、各語を各レーンに交互に施す(不必要なレーテンシを各レーンにおいてもたらし得る)代わりに、各暗号語259は、入力ストリーム263、264に対応するそれぞれのレーンにわたって逆多重化される。1入力2出力逆多重化器220は、各偶数暗号語259を入力ストリーム263、264それぞれの最初の2バイトに与え、各奇数暗号語259を入力ストリーム263、264それぞれの次の2バイトに与える。
【0024】
図2Bは、図2Aの実施例の例示的なタイミング構成を示す。例証するように、各暗号語259は、入力ストリーム263、264それぞれの1対の入力データ・バイトに施される。前述の通り、ブロック暗号生成器130は好ましくは、ストリーム・サイクル自体が反復する前に、5つの新たなAES語(図1Aの参照符号139によって表す)を用いてストリーム暗号生成器の新たな鍵249を生成するようクロッキングされる。
【0025】
別の構成は、特定のアプリケーションのタイミング及び構造上の制約に応じて、本発明の単一のブロックストリーム符号器を使用して入力データの2つのストリームを暗号化することが可能である。例えば、図1A及び図2Aの4バイト・レーンと比較して、各レーンは2バイト・レーンとして構成することが可能である。前述の実施例では、奇数/偶数逆多重化器220は必要でなくなる。一方、図2Aの4バイトレーンの実施例の利点は、本発明のブロックストリーム暗号化システムを使用して1つ若しくは2つの(又は、以下に詳細を説明するように4つの)入力ストリームが暗号化されるか否かとは無関係に同じレーン構造を使用するという点である。
【0026】
図3Aは、例えば、4レーンの入力データを符号化するために複数のストリーム暗号生成器を単一のブロック暗号生成器とともに使用することを示す。
【0027】
前述の通り、種々のアプリケーションにおいて共通の回路を使用/再使用することがしばしば効果的である。この例では、図2Aのデュアルレーン混合装置260を使用して4レーンの入力データの各対を暗号化し、2つのストリーム暗号生成器150、150’を使用してストリーム暗号を前述の2つの混合装置260に供給する。デュアル構造が理由で、4つのレーンの暗号化は、図2Aの2つのレーンの暗号化と同じレート(CLK−2 251)で行うことが可能である。しかし、ストリーム暗号生成器150、150’それぞれの鍵の変更は、ストリーム暗号の生成のレートよりもずっと低いレートで行われるので、デュアル構造は、ストリーム暗号生成器の対に鍵を供給するために、ブロック暗号生成器対を備えなくてよい。
【0028】
やはり前述の通り、ストリーム暗号生成器150に使用される576ビット鍵349は、AES暗号器135からの4 1/2の128ビット暗号語339を必要とする。図3Aの例示的な実施例では、多重化器342を使用して交互の半語344をレジスタ340に供給する。このようにして、2つの完全な鍵349を、10個の語339からでなく9個の暗号語339から生成することができる。すなわち、2つのストリーム暗号生成器150、150’をサポートするためにCLK−1 331のレートを倍にすることを必要とする代わりに、CLK−1 331のレートは、1.8倍だけ増加させればよい。電力消費は一般に速度に関係するので、AES構成部分の速度のこの10%の削減は大きいものであり得る。あるいは、AES暗号器135の速度が、ブロックストリーム暗号化システムの全体速度において制約要因である場合、速度におけるこの10%の事実上の増加も大きいものであり得る。更に、各ストリーム暗号システム150、150’の鍵の変更を交互にすることにより、単一の576ビット幅のレジスタ340を使用して576ビット鍵349を、ストリーム暗号システム150、150’の両方に供給し、それにより、かなりの量の回路及び配置領域を節減することが可能である。
【0029】
図3Bは、図3Aの実施例の例示的なタイミング図を示す。前述の実施例と同様に、5つの128ビット暗号語339が生成されると、前述の語のうちの4つ、及びレジスタ341に記憶された暗号語のうちの半語344を用いて576ビット鍵349を生成することが可能である。この第1の鍵を使用して「偶数」ストリーム暗号生成器150に鍵をかける。4つの更なる暗号語339が生成されると、前述の4つの新たな語、及び第1の鍵に用いられなかった暗号語344の半分を使用して別の鍵349を生成することが可能である。この第2の鍵を使用して「奇数」ストリーム暗号生成器150’に鍵をかける。この5語/4語系列は、CLK−1 331の9サイクル毎に暗号生成器150、150’毎に交互の一意の鍵を供給するよう反復する。
【0030】
本開示に鑑みて別の構造が実現可能であることを当業者は認識するであろう。例えば、9個の暗号語339を使用して2つの鍵349を供給することは、図1A、図2Aの実施例にも適用することが可能である。しかし、ブロック暗号生成器及びストリーム暗号生成器の相対速度は一般に、ブロック暗号生成器が、単一のストリーム暗号生成器に結合される場合、前述の効率性を要求しない。同様に、単一の32ビット・ストリーム暗号生成器は単に、4つのデータの4ビット入力ストリームそれぞれを直接暗号化するよう構成することが可能である。しかし、これは、ストリーム暗号生成器が、図3Aの生成器の速度の2倍で動作するか、又は、図3Aの入力データのデータ・レートを半分に削減することを必要とする。
【0031】
本明細書及び特許請求の範囲記載の概念は、本願記載の例に限定されず、より一般的な意味合いで適用することが可能であることも当業者は認識するであろう。例えば、入力データ、ストリーム暗号レート、及びブロック暗号レートの相対速度に応じて、単一のブロック暗号生成器を使用して3つ以上のストリーム暗号生成器に鍵を供給することができる。単一のストリーム暗号生成器を使用して5つ以上のデータ・レーンを暗号化することができる等である。
【0032】
図4A乃至4Bは、32ビット暗号語を8ビット・データ語レーンに加える混合システムの例示的な別の実施例を示す。
【0033】
図4Aでは、4つのシフト・レジスタR1−R4 420を使用して、入力データ・クロックCLK−3によってクロックインされたデータ入力ストリームの8ビット語を順次受け取る。32ビット暗号出力450は、4つの8ビット・セグメントに区分され、4つの8ビット・セグメントは、暗号化多重化器410を介してレジスタR1乃至R4 420に供給される。各暗号化多重化器410は、各レジスタが、先行段から、暗号化されていないデータ入力を受け取るか、先行段からデータ入力の暗号を受け取るかを判定する。各暗号化多重化器410は、8ビット幅のXORゲート412と、このXORゲートの入力の1つを判定する入力スイッチ411とを備える。暗号化なしで入力データのパススルーを行うために、スイッチ411は、固定の「0」出力を供給するので、XORゲート412の入力データへの影響はない。「暗号」信号がイネーブルされると、入力スイッチ411は、暗号の8ビットをXORゲート412に供給して入力データの暗号化を行う。3つの入力データ語がレジスタR1−R3 420にクロックインされた後に暗号化信号はイネーブルされ、第4のデータ語は、第1の暗号化多重化器410の入力において利用可能である。レジスタは次に、暗号化信号がイネーブルされている間にクロッキングされ、各レジスタR1−R4 420には、暗号化データ語がロードされる。暗号化信号が次いでディセーブルされ、処理が繰り返される。各後続データ入力語がレジスタにクロッキングされるにつれ、暗号化データ語がクロックアウトされ、それにより、最小のレーテンシで、連続した暗号化が行われる。前述の通り、暗号化信号は、4つのデータ・クロックCLK−3サイクル毎に一度イネーブルされ、よって、想定通り、暗号出力450は、データ入力レートの1/4で供給すればよい。
【0034】
図4Bでは、スイッチ440を使用して、暗号出力450の4つの8ビット・セグメントそれぞれを順次選択する。選択された暗号セグメントは、現在の8ビット・データ入力語とXORされる。好ましくは、選択された暗号セグメントをレジスタ420にクロッキングしてスイッチング過渡を回避する。この実施例では、XORゲート412及びレジスタ420を備える単一の8ビット暗号化段は、クロックCLK−3のデータ入力レートで暗号化出力を供給する。暗号出力450は好ましくは、データ入力クロックCLK−3の4サイクル毎に更新され、よって、スイッチ440からの8ビット暗号セグメントは再使用されない。
【0035】
別の暗号化手法を使用して、ストリーム暗号生成器によって供給される暗号ビットそれぞれの最適/効率的な使用を保証することができることを当業者は認識するであろう。
【0036】
前述では、本発明の原理を例証しているに過ぎない。よって、本明細書及び特許請求の範囲に明示的に説明されているものでないか、又は示されているものでないが、本発明の原理を実施し、よって、特許請求の範囲の趣旨及び範囲内に含まれる種々の構成を当業者は考え出すことができるであろう。
【0037】
特許請求の範囲を解釈するうえで、以下のことを理解すべきである。
【0038】
a)「comprising」の語は、特定の請求項に列挙されたもの以外の他の構成要素又は動作の存在を排除しない。
【0039】
b)構成要素に先行する語「a」又は「an」は、そうした構成要素が複数あることを排除しない。
【0040】
c)請求項における参照符号は何れもその範囲を限定するものでない。
【0041】
d)いくつかの「means」を、同じアイテム若しくはハードウェア、又は、ソフトウェアによって実施される構造又は機能によって表すことができる。
【0042】
e)開示された構成要素それぞれは、ハードウェア部分(例えば、個別電子回路及び集積電子回路をはじめとする)、ソフトウェア部分(例えば、コンピュータ・プログラミング)、並びにそれらの組み合わせを備え得る。
【0043】
f)ハードウェア部分は、アナログ部分及びディジタル部分の一方又は両方を含み得る。
【0044】
g)別途明記しない限り、本願に開示された装置、若しくはその部分の何れかを組み合わせるか、又は、更なる部分に分離することができる。
【0045】
h)別途明記しない限り、特定の動作順序が必要であることは意図していない。
【0046】
i)構成要素の「複数の」の語は、特許請求の範囲記載の構成要素のうちの2つ以上を含み、特定の範囲の構成要素数を示唆するものでない。すなわち、複数の構成要素は、最小で2個の構成要素であり得る。
【図面の簡単な説明】
【0047】
【図1A】ブロック暗号生成器によって供給される鍵を用いて体系的に鍵が変更される、本発明の一実施例による例示的なマルチビット・ストリーム暗号化システムを示す図である。
【図1B】ブロック暗号生成器によって供給される鍵を用いて体系的に鍵が変更される、本発明の一実施例による例示的なマルチビット・ストリーム暗号化システムを示す図である。
【図1C】ブロック暗号生成器によって供給される鍵を用いて体系的に鍵が変更される、本発明の一実施例による例示的なマルチビット・ストリーム暗号化システムを示す図である。
【図2A】ブロック暗号生成器によって供給される鍵を用いて体系的に鍵が変更される、本発明の他の実施例による他の例示的なマルチビット・ストリーム暗号化システムを示す図である。
【図2B】ブロック暗号生成器によって供給される鍵を用いて体系的に鍵が変更される、本発明の他の実施例による他の例示的なマルチビット・ストリーム暗号化システムを示す図である。
【図3A】ブロック暗号生成器によって供給される鍵を用いて体系的に鍵が変更される、本発明の他の実施例による他の例示的なマルチビット・ストリーム暗号化システムを示す図である。
【図3B】ブロック暗号生成器によって供給される鍵を用いて体系的に鍵が変更される、本発明の他の実施例による他の例示的なマルチビット・ストリーム暗号化システムを示す図である。
【図4A】複数のバイトにまたがる暗号出力を用いてデータ・バイトを暗号化する、本発明の種々の実施例による混合システムを示す図である。
【図4B】複数のバイトにまたがる暗号出力を用いてデータ・バイトを暗号化する、本発明の種々の実施例による混合システムを示す図である。
【技術分野】
【0001】
本出願は、西暦2005年11月23日付出願の米国特許仮出願第60/739219号の利益を主張する。
【0002】
本発明は、通信及びデータ・セキュリティの分野に関し、特に、高速マルチレーン並列データ・チャネルの暗号化及び復号を容易にする方法及びシステムに関する。
【背景技術】
【0003】
ストリーム暗号は、入力ストリームが順次(一般に、一度に一データ単位(ワード/バイト/ビット))暗号化され、後続データ単位の変換が暗号化中に変わる暗号である。一方、ブロック暗号は、変わらない固定の変換によって大容量のデータ・ブロックを処理する暗号である。すなわち、特定のデータ・ブロックのブロック暗号、及び特定の暗号鍵は常に、同じ暗号化出力ブロックをもたらす。一方、ストリーム暗号の出力は、データ単位が暗号化される時点での暗号システムの状態に依存する。
【0004】
一般に、ストリーム暗号は、入力ストリームを、生成された鍵ストリームと合成する。鍵ストリームは、特定の暗号鍵又は暗号鍵組に基づいて疑似乱数的に生成される。鍵ストリームの順次生成は一般に、データ・ブロックのブロック暗号化よりも複雑でない動作であるので、ストリーム暗号は、ブロック暗号よりもかなり高速であり、必要なハードウェア構成部分はかなり少なくなる。
【0005】
ストリーム暗号は、長さが未知のデ―タのストリーム(電話の会話、ストリーミング・ビデオ等)の高速暗号化/復号によく適している。前述のデータに対してブロック暗号が使用される場合、ブロックを埋める前に終結する入力ストリームのパディングを設けなければならない。
【0006】
多くのストリーム暗号は、クロック・サイクル毎にマルチビット出力を生成するよう構成される。例えば、Ekdahl及びJohansson (Lund University)によるSNOW暗号及びそれに取って代わるSNOW−2は、サイクル毎に32ビット語を出力するよう構成された状態機械を駆動させる線形フィードバック・シフト・レジスタを使用する。前述のマルチビット暗号出力を効果的に利用するために、並列暗号化をしばしば用いる。並列暗号化では、入力ストリームは、出力暗号と同じビット数を有するデータ組に逆多重化される。データ組は、マルチビット暗号を用いて暗号化され、次いで、入力ストリームと同じ形式の出力ストリームに多重化される。例えば、入力ストリームが、8ビット幅のバス上にデータ・バイトを有し、32ビット暗号語が利用可能な場合、バス上の4つの8ビット・バイトの各組は32ビット語に拡散させられ、32ビット語は、32ビット暗号語を用いて暗号化され、結果として生じる32ビット出力語は、4つの入力バイトの暗号化に対応する4つの出力バイトに逆拡散させられる。前述の実施例では、暗号生成器は、暗号生成の最大4倍の速度の、入力ストリームのスループット・レートをサポートすることが可能である。
【0007】
場合によっては、入力データ・レートは、特定の暗号生成器がサポートすることが可能な最大速度よりもかなり低いことがあり得る。前述の場合、複数のデータ・ストリームを単一の暗号生成器によってサポートすることができる。前述の例では、8ビット幅の入力データ・ストリームの速度が32ビット暗号生成器の速度の2倍である場合、前述の2つの8ビット・データ・ストリームをこの32ビット暗号生成器によってサポートすることが可能である。8ビット幅の入力データ・ストリームの速度が32ビット暗号生成器の速度に等しい場合、前述の4つの入力データ・ストリームを暗号生成器によってサポートすることが可能である等である。
【0008】
しかし、全数探索に至らない探索を使用する識別攻撃を受ける可能性がより高いので、ストリーム暗号はブロック暗号よりもセキュアでないことが一般に知られている。更に、鍵ストリームが反復された場合、ストリーム暗号は全て、攻撃に対して脆弱である。理想的には、128ビット鍵の場合、鍵ストリームの反復長は2128ビットである(大半のアプリケーションでは許容可能である)が、毎秒100Mbの暗号化レートでは、前述の暗号のリサイクル時間は、25分未満になり、これにより、長時間にわたるアプリケーション(ストリーム・ビデオなど)の場合、暗号が不適切になる。一方、ブロック暗号の計算量により、前述の消費者向アプリケーションの場合、費用がかかりすぎるか、又は遅すぎることになる。
【発明の開示】
【発明が解決しようとする課題】
【0009】
ストリーム暗号の速度及びブロック暗号のセキュリティを備える暗号を提供することが効果的になる。
【課題を解決するための手段】
【0010】
本発明の一実施例によれば、暗号システムは、ブロック暗号及びストリーム暗号の組み合わせを備える。ブロック暗号は、1つ又は複数のストリーム暗号の鍵を周期的に変更するために使用する、変更する鍵を提供する。好ましくは、AES(米国標準技術研究所(NIST)による次世代標準暗号化方式)ブロック暗号は、1つ又は複数のSNOW−2ストリーム暗号の鍵を変更するために使用する576ビット鍵ストリームを供給するために使用される128ビット鍵の組を提供する。ストリーム暗号の出力は、前述の複数レーンのデータに対する、ブロック暗号及びストリーム暗号の最適化された編成を用いて複数の入力データ・ストリーム、又はデータの「レーン」を暗号化するために使用される。
【発明を実施するための最良の形態】
【0011】
本発明は、添付図面を参照して、例として更に詳細に説明する。添付図面を通して、同じ参照符号は同じ構成要素、又は実質的に同じ機能を行う構成要素を表す。添付図面は、例証の目的で含めており、本発明の範囲を限定することを意図するものでない。
【0012】
以下の説明では、限定ではなく説明の目的で、特定のアーキテクチャ、インタフェース、手法等などの特定の詳細を表して、本発明が徹底的に分かるようにしている。しかし、前述の特定の詳細から逸脱する他の実施例において本発明を実施することが可能であることが当業者には明らかとなろう。話を単純かつ明瞭にする目的で、周知の装置、回路及び手法の詳細な説明を割愛して、不必要な詳細で本発明の説明をわかりにくくすることがないようにしている。
【実施例】
【0013】
図1Aは、ストリーム暗号生成器150の語長よりも小さい語長を有する入力ストリーム163のマルチビット並列暗号化のための、本発明の一実施例による例示的なブロック暗号及びストリーム暗号システムを示す。例えば、入力ストリームは、8ビット・データ・バイトを含み、SNOW−2ストリーム暗号生成器を用いてストリーム暗号を供給する。当該技術分野において知られているように、SNOW−2処理は、32ビット幅の暗号出力語159の系列を生成するための初期状態として576ビット鍵149を用いる。
【0014】
混合装置160は、ストリーム暗号生成器150の暗号出力語159を入力ストリーム163と混合することにより、入力ストリーム163の暗号化を行うために使用される。ストリーム暗号生成器150からの32ビット幅の暗号語159の系列の使用を最適化するために、8ビット入力バイト163を、1入力4出力逆多重化器164で「拡散」させて4つの8ビット・チャネルを形成する。32ビット暗号語159は、同様に、4つの8ビット暗号バイト(チャネル毎に一暗号バイト)に区分される。各チャネルでは、混合器165が、チャネル上の8ビット・データ・バイトを、チャネルに割り当てられた暗号バイトと合成して暗号化バイトを生成する。好ましくは、混合器165は、排他的OR演算を行ってデータ・バイト及び暗号バイトを合成する。4つのチャネルの暗号化バイトを4入力1出力多重化器164’に供給して、入力ストリーム163における各バイトに対応する暗号化出力バイト169の系列を形成する。
【0015】
図1Bは、図1Aの暗号化システムの動作に対応するタイミング図を示す。第1の行は、入力ストリーム163におけるバイトの系列を示す。第2の行は、ストリーム暗号生成器150の暗号出力語159の系列を示す。各暗号出力語159を用いて入力ストリーム163の4バイトを符号化するので、ストリーム暗号生成器からの出力語の系列は、入力バイト・レートの1/4の周波数を有する。すなわち、図1Aでは、各暗号語を供給するために使用される暗号クロックCLK−2 151は、各入力データ・バイトを入力するために使用されるクロックCLK−3 161の1/4の周波数で動作させる。
【0016】
図1Aの暗号化チャネル構造は、参照を簡単にするために表されているに過ぎず、他の構造を用いることもできることが当業者により、認識されよう。例えば、入力ストリーム163が16ビット語を備える場合、逆多重化器164は、2つの16ビット・チャネルを設けるよう構成される。この場合、暗号クロックCLK−2 151は、各入力データ語を入力するために使用されるクロックCLK3 161の周波数の半分で動作させる。同様に、図4及び図5に関して以下に更に説明する例証的な多重化器構造の代わりに、直列レジスタ構成や他の構造を使用することができる。
【0017】
本発明の一局面によれば、ストリーム暗号生成器150は、その576ビット鍵149をブロック暗号生成器130から受け取る。好ましくは、ブロック暗号生成器130は、ユーザが暗号化セッションを起動させる都度、別の鍵を生成するセッション鍵生成器110からその鍵を受け取る。好ましくは、セッション鍵は、セキュリティを向上させるために定期的に更新される。
【0018】
図1Aの例示的な暗号化システムでは、AES暗号器135は、制御クロックCLK−1 131の各サイクルにおいて、ランニング・カウンタ132の現在の内容の暗号化である128ビットのブロック暗号出力139を生成する。前述の通り、例示的なSNOW−2ストリーム暗号生成器は576ビット鍵を使用する。そういうものとして、制御クロックCLK−1 131の5サイクルが、この鍵を形成するために十分なビット数を供給するために必要である。576ビット鍵は、AES暗号器135からの4 1/2の128ビット暗号語に対応し、ブロック暗号生成器130は、前述の暗号語のうちの3 1/2を記憶するよう構成されたレジスタ140を含む。第5の128ビット暗号語が生成されると、この現在の語、及びレジスタ140に先行して記憶されている3 1/2語を用いて576ビット出力が供給される。
【0019】
前述の通り、ストリーム暗号生成器は一般に、ブロック暗号生成器よりもかなり速いが、ストリーム暗号は、それ自体が反復するので、ブロック暗号よりもセキュアでない。攻撃者が、生成された暗号系列の一部又は全てを求めることができる場合、攻撃者は、求められた系列の各反復において暗号化マテリアルを復号することが可能になる。好ましくは、ストリーム暗号生成器150のこの脆弱性を避けるために、新たな576ビット鍵149が、ブロック暗号生成器130によって生成され、新たな576ビット鍵149は、ストリーム暗号生成器150自体が反復する前にストリーム暗号生成器150の鍵を変更するために使用される。このようにして、ストリーム暗号符号化された出力の先行セグメントの復号は、将来のセグメントの復号を容易にするために使用することが可能でない。
【0020】
図1Cは、図1Aの例示的な実施例における鍵149の生成及び使用の例示的なタイミング系列を示す。各クロック・サイクルCLK−1におけるAES暗号器135の128ビット・ブロック暗号出力139は、暗号語A0、A1、A2等として識別される。図1Aのレジスタ140の内容は、図1Cにおいて、参照を容易にするためにストリーム142として識別している。第4の出力A3後のサイクルでは、現時の出力A4及びストリーム142が、ストリーム暗号生成器150の鍵の変更に利用可能である。その後、別の5つの暗号語A5乃至A9が、生成され、ストリーム暗号生成器150の鍵を変更するために使用される。前述の通り、この鍵の変更は好ましくは、ストリーム暗号生成器150自体が反復する状態になる前に行われる。
【0021】
当該技術分野における当業者は、5つの暗号語の最初の生成後、新たな暗号語それぞれが生成されるにつれ、新たな鍵をストリーム暗号生成器150に利用可能にすることが可能であり、新たな暗号語は、先行鍵のビットの部分集合を置き換える。しかし、先行鍵のビット全てが、新たな暗号語によって置き換えられた後に鍵を変更することにより、最適なセキュリティが得られる。
【0022】
図2Aは、「デュアルライン」暗号化システムの例示的な実施例を示す。このシステムでは、前述のセッション鍵生成器110、ブロック暗号生成器130及びストリーム暗号生成器150を備える単一のブロックストリーム暗号システムを使用して2つの入力ストリーム263、264が暗号化される。
【0023】
図2Aの実施例では、クロックCLK−2 251のレートが2倍にされている。よって、デュアルレーン混合装置260の2つの入力ストリーム263、264の暗号化に2つの暗号語259が利用可能である。しかし、各語を各レーンに交互に施す(不必要なレーテンシを各レーンにおいてもたらし得る)代わりに、各暗号語259は、入力ストリーム263、264に対応するそれぞれのレーンにわたって逆多重化される。1入力2出力逆多重化器220は、各偶数暗号語259を入力ストリーム263、264それぞれの最初の2バイトに与え、各奇数暗号語259を入力ストリーム263、264それぞれの次の2バイトに与える。
【0024】
図2Bは、図2Aの実施例の例示的なタイミング構成を示す。例証するように、各暗号語259は、入力ストリーム263、264それぞれの1対の入力データ・バイトに施される。前述の通り、ブロック暗号生成器130は好ましくは、ストリーム・サイクル自体が反復する前に、5つの新たなAES語(図1Aの参照符号139によって表す)を用いてストリーム暗号生成器の新たな鍵249を生成するようクロッキングされる。
【0025】
別の構成は、特定のアプリケーションのタイミング及び構造上の制約に応じて、本発明の単一のブロックストリーム符号器を使用して入力データの2つのストリームを暗号化することが可能である。例えば、図1A及び図2Aの4バイト・レーンと比較して、各レーンは2バイト・レーンとして構成することが可能である。前述の実施例では、奇数/偶数逆多重化器220は必要でなくなる。一方、図2Aの4バイトレーンの実施例の利点は、本発明のブロックストリーム暗号化システムを使用して1つ若しくは2つの(又は、以下に詳細を説明するように4つの)入力ストリームが暗号化されるか否かとは無関係に同じレーン構造を使用するという点である。
【0026】
図3Aは、例えば、4レーンの入力データを符号化するために複数のストリーム暗号生成器を単一のブロック暗号生成器とともに使用することを示す。
【0027】
前述の通り、種々のアプリケーションにおいて共通の回路を使用/再使用することがしばしば効果的である。この例では、図2Aのデュアルレーン混合装置260を使用して4レーンの入力データの各対を暗号化し、2つのストリーム暗号生成器150、150’を使用してストリーム暗号を前述の2つの混合装置260に供給する。デュアル構造が理由で、4つのレーンの暗号化は、図2Aの2つのレーンの暗号化と同じレート(CLK−2 251)で行うことが可能である。しかし、ストリーム暗号生成器150、150’それぞれの鍵の変更は、ストリーム暗号の生成のレートよりもずっと低いレートで行われるので、デュアル構造は、ストリーム暗号生成器の対に鍵を供給するために、ブロック暗号生成器対を備えなくてよい。
【0028】
やはり前述の通り、ストリーム暗号生成器150に使用される576ビット鍵349は、AES暗号器135からの4 1/2の128ビット暗号語339を必要とする。図3Aの例示的な実施例では、多重化器342を使用して交互の半語344をレジスタ340に供給する。このようにして、2つの完全な鍵349を、10個の語339からでなく9個の暗号語339から生成することができる。すなわち、2つのストリーム暗号生成器150、150’をサポートするためにCLK−1 331のレートを倍にすることを必要とする代わりに、CLK−1 331のレートは、1.8倍だけ増加させればよい。電力消費は一般に速度に関係するので、AES構成部分の速度のこの10%の削減は大きいものであり得る。あるいは、AES暗号器135の速度が、ブロックストリーム暗号化システムの全体速度において制約要因である場合、速度におけるこの10%の事実上の増加も大きいものであり得る。更に、各ストリーム暗号システム150、150’の鍵の変更を交互にすることにより、単一の576ビット幅のレジスタ340を使用して576ビット鍵349を、ストリーム暗号システム150、150’の両方に供給し、それにより、かなりの量の回路及び配置領域を節減することが可能である。
【0029】
図3Bは、図3Aの実施例の例示的なタイミング図を示す。前述の実施例と同様に、5つの128ビット暗号語339が生成されると、前述の語のうちの4つ、及びレジスタ341に記憶された暗号語のうちの半語344を用いて576ビット鍵349を生成することが可能である。この第1の鍵を使用して「偶数」ストリーム暗号生成器150に鍵をかける。4つの更なる暗号語339が生成されると、前述の4つの新たな語、及び第1の鍵に用いられなかった暗号語344の半分を使用して別の鍵349を生成することが可能である。この第2の鍵を使用して「奇数」ストリーム暗号生成器150’に鍵をかける。この5語/4語系列は、CLK−1 331の9サイクル毎に暗号生成器150、150’毎に交互の一意の鍵を供給するよう反復する。
【0030】
本開示に鑑みて別の構造が実現可能であることを当業者は認識するであろう。例えば、9個の暗号語339を使用して2つの鍵349を供給することは、図1A、図2Aの実施例にも適用することが可能である。しかし、ブロック暗号生成器及びストリーム暗号生成器の相対速度は一般に、ブロック暗号生成器が、単一のストリーム暗号生成器に結合される場合、前述の効率性を要求しない。同様に、単一の32ビット・ストリーム暗号生成器は単に、4つのデータの4ビット入力ストリームそれぞれを直接暗号化するよう構成することが可能である。しかし、これは、ストリーム暗号生成器が、図3Aの生成器の速度の2倍で動作するか、又は、図3Aの入力データのデータ・レートを半分に削減することを必要とする。
【0031】
本明細書及び特許請求の範囲記載の概念は、本願記載の例に限定されず、より一般的な意味合いで適用することが可能であることも当業者は認識するであろう。例えば、入力データ、ストリーム暗号レート、及びブロック暗号レートの相対速度に応じて、単一のブロック暗号生成器を使用して3つ以上のストリーム暗号生成器に鍵を供給することができる。単一のストリーム暗号生成器を使用して5つ以上のデータ・レーンを暗号化することができる等である。
【0032】
図4A乃至4Bは、32ビット暗号語を8ビット・データ語レーンに加える混合システムの例示的な別の実施例を示す。
【0033】
図4Aでは、4つのシフト・レジスタR1−R4 420を使用して、入力データ・クロックCLK−3によってクロックインされたデータ入力ストリームの8ビット語を順次受け取る。32ビット暗号出力450は、4つの8ビット・セグメントに区分され、4つの8ビット・セグメントは、暗号化多重化器410を介してレジスタR1乃至R4 420に供給される。各暗号化多重化器410は、各レジスタが、先行段から、暗号化されていないデータ入力を受け取るか、先行段からデータ入力の暗号を受け取るかを判定する。各暗号化多重化器410は、8ビット幅のXORゲート412と、このXORゲートの入力の1つを判定する入力スイッチ411とを備える。暗号化なしで入力データのパススルーを行うために、スイッチ411は、固定の「0」出力を供給するので、XORゲート412の入力データへの影響はない。「暗号」信号がイネーブルされると、入力スイッチ411は、暗号の8ビットをXORゲート412に供給して入力データの暗号化を行う。3つの入力データ語がレジスタR1−R3 420にクロックインされた後に暗号化信号はイネーブルされ、第4のデータ語は、第1の暗号化多重化器410の入力において利用可能である。レジスタは次に、暗号化信号がイネーブルされている間にクロッキングされ、各レジスタR1−R4 420には、暗号化データ語がロードされる。暗号化信号が次いでディセーブルされ、処理が繰り返される。各後続データ入力語がレジスタにクロッキングされるにつれ、暗号化データ語がクロックアウトされ、それにより、最小のレーテンシで、連続した暗号化が行われる。前述の通り、暗号化信号は、4つのデータ・クロックCLK−3サイクル毎に一度イネーブルされ、よって、想定通り、暗号出力450は、データ入力レートの1/4で供給すればよい。
【0034】
図4Bでは、スイッチ440を使用して、暗号出力450の4つの8ビット・セグメントそれぞれを順次選択する。選択された暗号セグメントは、現在の8ビット・データ入力語とXORされる。好ましくは、選択された暗号セグメントをレジスタ420にクロッキングしてスイッチング過渡を回避する。この実施例では、XORゲート412及びレジスタ420を備える単一の8ビット暗号化段は、クロックCLK−3のデータ入力レートで暗号化出力を供給する。暗号出力450は好ましくは、データ入力クロックCLK−3の4サイクル毎に更新され、よって、スイッチ440からの8ビット暗号セグメントは再使用されない。
【0035】
別の暗号化手法を使用して、ストリーム暗号生成器によって供給される暗号ビットそれぞれの最適/効率的な使用を保証することができることを当業者は認識するであろう。
【0036】
前述では、本発明の原理を例証しているに過ぎない。よって、本明細書及び特許請求の範囲に明示的に説明されているものでないか、又は示されているものでないが、本発明の原理を実施し、よって、特許請求の範囲の趣旨及び範囲内に含まれる種々の構成を当業者は考え出すことができるであろう。
【0037】
特許請求の範囲を解釈するうえで、以下のことを理解すべきである。
【0038】
a)「comprising」の語は、特定の請求項に列挙されたもの以外の他の構成要素又は動作の存在を排除しない。
【0039】
b)構成要素に先行する語「a」又は「an」は、そうした構成要素が複数あることを排除しない。
【0040】
c)請求項における参照符号は何れもその範囲を限定するものでない。
【0041】
d)いくつかの「means」を、同じアイテム若しくはハードウェア、又は、ソフトウェアによって実施される構造又は機能によって表すことができる。
【0042】
e)開示された構成要素それぞれは、ハードウェア部分(例えば、個別電子回路及び集積電子回路をはじめとする)、ソフトウェア部分(例えば、コンピュータ・プログラミング)、並びにそれらの組み合わせを備え得る。
【0043】
f)ハードウェア部分は、アナログ部分及びディジタル部分の一方又は両方を含み得る。
【0044】
g)別途明記しない限り、本願に開示された装置、若しくはその部分の何れかを組み合わせるか、又は、更なる部分に分離することができる。
【0045】
h)別途明記しない限り、特定の動作順序が必要であることは意図していない。
【0046】
i)構成要素の「複数の」の語は、特許請求の範囲記載の構成要素のうちの2つ以上を含み、特定の範囲の構成要素数を示唆するものでない。すなわち、複数の構成要素は、最小で2個の構成要素であり得る。
【図面の簡単な説明】
【0047】
【図1A】ブロック暗号生成器によって供給される鍵を用いて体系的に鍵が変更される、本発明の一実施例による例示的なマルチビット・ストリーム暗号化システムを示す図である。
【図1B】ブロック暗号生成器によって供給される鍵を用いて体系的に鍵が変更される、本発明の一実施例による例示的なマルチビット・ストリーム暗号化システムを示す図である。
【図1C】ブロック暗号生成器によって供給される鍵を用いて体系的に鍵が変更される、本発明の一実施例による例示的なマルチビット・ストリーム暗号化システムを示す図である。
【図2A】ブロック暗号生成器によって供給される鍵を用いて体系的に鍵が変更される、本発明の他の実施例による他の例示的なマルチビット・ストリーム暗号化システムを示す図である。
【図2B】ブロック暗号生成器によって供給される鍵を用いて体系的に鍵が変更される、本発明の他の実施例による他の例示的なマルチビット・ストリーム暗号化システムを示す図である。
【図3A】ブロック暗号生成器によって供給される鍵を用いて体系的に鍵が変更される、本発明の他の実施例による他の例示的なマルチビット・ストリーム暗号化システムを示す図である。
【図3B】ブロック暗号生成器によって供給される鍵を用いて体系的に鍵が変更される、本発明の他の実施例による他の例示的なマルチビット・ストリーム暗号化システムを示す図である。
【図4A】複数のバイトにまたがる暗号出力を用いてデータ・バイトを暗号化する、本発明の種々の実施例による混合システムを示す図である。
【図4B】複数のバイトにまたがる暗号出力を用いてデータ・バイトを暗号化する、本発明の種々の実施例による混合システムを示す図である。
【特許請求の範囲】
【請求項1】
データを暗号化するシステムであって、
少なくとも1つの暗号鍵を生成するよう構成されたブロック暗号装置と、
前記少なくとも1つの暗号鍵に基づいて暗号語の系列を生成するよう構成されたストリーム暗号装置と、
前記暗号語それぞれの複数ビット及びデータ入力項目の複数ビットを並列に組み合わせるよう構成された混合器装置とを備えるシステム。
【請求項2】
請求項1記載のシステムであって、
各暗号語は「n」ビットを備え、
前記混合器装置は、前記データ入力項目の「n」ビットの並列暗号化を容易にするよう前記データ入力項目を編成するよう構成されたシステム。
【請求項3】
請求項1記載のシステムであって、
各データ入力項目は、入力データ・レートで到着する「m」ビットを備え、
前記混合器装置は、前記入力データ・レートで前記データ入力項目の前記「m」ビットの並列暗号化を容易にするよう前記暗号語を編成するよう構成されるシステム。
【請求項4】
請求項1記載のシステムであって、
前記ストリーム暗号装置は、反復サイクル・レートによって特徴付けられ、
前記ブロック暗号装置は、前記反復サイクル・レート以下の暗号鍵レートにおいて別の暗号鍵を供給するよう構成され、
前記ストリーム暗号装置は、前記暗号鍵レート以下の鍵変更レートにおいて前記別の暗号鍵によって鍵が変更されるよう構成されたシステム。
【請求項5】
請求項4記載のシステムであって、
前記暗号鍵レートが、前記反復サイクル・レートに等しいシステム。
【請求項6】
請求項4記載のシステムであって、
前記鍵変更レートが、前記暗号鍵レートに等しいシステム。
【請求項7】
請求項4記載のシステムであって、
前記ブロック暗号装置は、別々の暗号鍵それぞれを構成する複数のブロック暗号出力を生成するよう構成されたシステム。
【請求項8】
請求項7記載のシステムであって、
少なくとも1つの別の暗号鍵は、先行暗号鍵の前記ブロック暗号出力の1つ又は複数を含むシステム。
【請求項9】
請求項1記載のシステムであって、
前記ブロック暗号装置は、別々の暗号鍵それぞれを構成する複数のブロック暗号出力を生成するよう構成されたシステム。
【請求項10】
請求項8記載のシステムであって、
少なくとも1つの別の暗号鍵は、先行暗号鍵の前記ブロック暗号出力の1つ又は複数を含むシステム。
【請求項11】
請求項1記載のシステムであって、
前記ブロック暗号装置はAES暗号器を備えるシステム。
【請求項12】
請求項11記載のシステムであって、
前記ストリーム暗号装置は、SNOW−2ストリーム暗号生成器を備えるシステム。
【請求項13】
データを暗号化する方法であって、
少なくとも1つのブロック暗号鍵を生成する工程と、
前記少なくとも1つの暗号鍵に基づいて暗号語の系列を生成する工程と、
前記暗号語それぞれの複数ビットを使用して、データ入力項目の複数のビットを並列暗号化する工程とを備える方法。
【請求項14】
請求項13記載の方法であって、
前記データ入力項目の「n」ビットの前記並列暗号化を容易にするよう前記データ入力項目を編成する工程を含む方法。
【請求項15】
請求項13記載の方法であって、
前記暗号語の系列の反復サイクル・レート以下の暗号鍵レートで他のブロック暗号鍵を生成する工程と、
前記他のブロック暗号鍵に基づいて暗号語の更なる系列を生成する工程とを含む方法。
【請求項16】
請求項13記載の方法であって、
複数のブロック暗号出力を生成して、前記少なくとも1つのブロック暗号鍵を供給する工程を含む方法。
【請求項17】
請求項13記載の方法であって、
前記少なくとも1つのブロック暗号鍵を生成する工程は、AES暗号を生成する工程を含む方法。
【請求項18】
請求項13記載の方法であって、
前記暗号語の系列を生成する工程は、SNOW−2暗号を生成する工程を含む方法。
【請求項19】
コンピュータ読み取り可能な媒体上に備えられたコンピュータ・プログラムであって、
処理システム上で実行されると、
少なくとも1つのブロック暗号鍵を生成する機能と、
前記少なくとも1つの暗号鍵に基づいて暗号語の系列を生成する機能と、
前記暗号語それぞれの複数ビットを使用して複数のデータ入力項目ビットを並列に暗号化する機能とを前記処理システムに行わせるよう構成されたコンピュータ・プログラム。
【請求項20】
請求項19のコンピュータ・プログラムであって、
AES暗号を使用して前記少なくとも1つのブロック暗号鍵を生成する機能と、
SNOW−2暗号を使用して前記暗号語の系列を生成する機能とを前記処理システムに行わせるコンピュータ・プログラム。
【請求項1】
データを暗号化するシステムであって、
少なくとも1つの暗号鍵を生成するよう構成されたブロック暗号装置と、
前記少なくとも1つの暗号鍵に基づいて暗号語の系列を生成するよう構成されたストリーム暗号装置と、
前記暗号語それぞれの複数ビット及びデータ入力項目の複数ビットを並列に組み合わせるよう構成された混合器装置とを備えるシステム。
【請求項2】
請求項1記載のシステムであって、
各暗号語は「n」ビットを備え、
前記混合器装置は、前記データ入力項目の「n」ビットの並列暗号化を容易にするよう前記データ入力項目を編成するよう構成されたシステム。
【請求項3】
請求項1記載のシステムであって、
各データ入力項目は、入力データ・レートで到着する「m」ビットを備え、
前記混合器装置は、前記入力データ・レートで前記データ入力項目の前記「m」ビットの並列暗号化を容易にするよう前記暗号語を編成するよう構成されるシステム。
【請求項4】
請求項1記載のシステムであって、
前記ストリーム暗号装置は、反復サイクル・レートによって特徴付けられ、
前記ブロック暗号装置は、前記反復サイクル・レート以下の暗号鍵レートにおいて別の暗号鍵を供給するよう構成され、
前記ストリーム暗号装置は、前記暗号鍵レート以下の鍵変更レートにおいて前記別の暗号鍵によって鍵が変更されるよう構成されたシステム。
【請求項5】
請求項4記載のシステムであって、
前記暗号鍵レートが、前記反復サイクル・レートに等しいシステム。
【請求項6】
請求項4記載のシステムであって、
前記鍵変更レートが、前記暗号鍵レートに等しいシステム。
【請求項7】
請求項4記載のシステムであって、
前記ブロック暗号装置は、別々の暗号鍵それぞれを構成する複数のブロック暗号出力を生成するよう構成されたシステム。
【請求項8】
請求項7記載のシステムであって、
少なくとも1つの別の暗号鍵は、先行暗号鍵の前記ブロック暗号出力の1つ又は複数を含むシステム。
【請求項9】
請求項1記載のシステムであって、
前記ブロック暗号装置は、別々の暗号鍵それぞれを構成する複数のブロック暗号出力を生成するよう構成されたシステム。
【請求項10】
請求項8記載のシステムであって、
少なくとも1つの別の暗号鍵は、先行暗号鍵の前記ブロック暗号出力の1つ又は複数を含むシステム。
【請求項11】
請求項1記載のシステムであって、
前記ブロック暗号装置はAES暗号器を備えるシステム。
【請求項12】
請求項11記載のシステムであって、
前記ストリーム暗号装置は、SNOW−2ストリーム暗号生成器を備えるシステム。
【請求項13】
データを暗号化する方法であって、
少なくとも1つのブロック暗号鍵を生成する工程と、
前記少なくとも1つの暗号鍵に基づいて暗号語の系列を生成する工程と、
前記暗号語それぞれの複数ビットを使用して、データ入力項目の複数のビットを並列暗号化する工程とを備える方法。
【請求項14】
請求項13記載の方法であって、
前記データ入力項目の「n」ビットの前記並列暗号化を容易にするよう前記データ入力項目を編成する工程を含む方法。
【請求項15】
請求項13記載の方法であって、
前記暗号語の系列の反復サイクル・レート以下の暗号鍵レートで他のブロック暗号鍵を生成する工程と、
前記他のブロック暗号鍵に基づいて暗号語の更なる系列を生成する工程とを含む方法。
【請求項16】
請求項13記載の方法であって、
複数のブロック暗号出力を生成して、前記少なくとも1つのブロック暗号鍵を供給する工程を含む方法。
【請求項17】
請求項13記載の方法であって、
前記少なくとも1つのブロック暗号鍵を生成する工程は、AES暗号を生成する工程を含む方法。
【請求項18】
請求項13記載の方法であって、
前記暗号語の系列を生成する工程は、SNOW−2暗号を生成する工程を含む方法。
【請求項19】
コンピュータ読み取り可能な媒体上に備えられたコンピュータ・プログラムであって、
処理システム上で実行されると、
少なくとも1つのブロック暗号鍵を生成する機能と、
前記少なくとも1つの暗号鍵に基づいて暗号語の系列を生成する機能と、
前記暗号語それぞれの複数ビットを使用して複数のデータ入力項目ビットを並列に暗号化する機能とを前記処理システムに行わせるよう構成されたコンピュータ・プログラム。
【請求項20】
請求項19のコンピュータ・プログラムであって、
AES暗号を使用して前記少なくとも1つのブロック暗号鍵を生成する機能と、
SNOW−2暗号を使用して前記暗号語の系列を生成する機能とを前記処理システムに行わせるコンピュータ・プログラム。
【図1A】
【図1B】
【図1C】
【図2A】
【図2B】
【図3A】
【図3B】
【図4A】
【図4B】
【図1B】
【図1C】
【図2A】
【図2B】
【図3A】
【図3B】
【図4A】
【図4B】
【公表番号】特表2009−516976(P2009−516976A)
【公表日】平成21年4月23日(2009.4.23)
【国際特許分類】
【出願番号】特願2008−541867(P2008−541867)
【出願日】平成18年11月17日(2006.11.17)
【国際出願番号】PCT/IB2006/054319
【国際公開番号】WO2007/060587
【国際公開日】平成19年5月31日(2007.5.31)
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【Fターム(参考)】
【公表日】平成21年4月23日(2009.4.23)
【国際特許分類】
【出願日】平成18年11月17日(2006.11.17)
【国際出願番号】PCT/IB2006/054319
【国際公開番号】WO2007/060587
【国際公開日】平成19年5月31日(2007.5.31)
【出願人】(590000248)コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ (12,071)
【Fターム(参考)】
[ Back to top ]