特許ウォッチ

公開番号2025109578
公報種別公開特許公報(A)
公開日2025-07-25
出願番号2024003560
出願日2024-01-12
発明の名称認証暗号化装置、認証復号装置、認証暗号システム、方法及びプログラム
出願人日本電気株式会社
代理人個人
主分類G09C 1/00 20060101AFI20250717BHJP(教育;暗号方法;表示;広告;シール)
要約【課題】高い安全性を実現しつつ通信経路における負荷の増大を抑制することが可能な認証暗号化装置を提供する。
【解決手段】認証暗号化装置は、暗号化手段と、平文処理手段と、暗号文処理手段と、タグ生成手段とを有する。暗号化手段は、ナンス及び関連データを含むTweakと、鍵とを用いて、平文を暗号化して当該平文の長さと同じ長さの暗号文を生成する。平文処理手段は、平文から認証用タグの生成のために用いられる第1の値を生成する。暗号文処理手段は、暗号文から認証用タグの生成のために用いられる第2の値を生成する。タグ生成手段は、鍵と、ナンスと、関連データと、第1の値及び第2の値に対応する1つ又は2つの入力値とをハッシュ関数に入力して、長さtのハッシュ値を認証用タグとして生成する。
【選択図】図19
特許請求の範囲【請求項１】
ナンス及び関連データを含むＴｗｅａｋと、鍵とを用いて、平文を暗号化して当該平文の長さと同じ長さの暗号文を生成する暗号化手段と、
前記平文から認証用タグの生成のために用いられる第１の値を生成する平文処理手段と、
前記暗号文から前記認証用タグの生成のために用いられる第２の値を生成する暗号文処理手段と、
前記鍵と、前記ナンスと、前記関連データと、前記第１の値及び前記第２の値に対応する１つ又は２つの入力値とをハッシュ関数に入力して、予め定められた長さｔのハッシュ値を前記認証用タグとして生成するタグ生成手段と、
を有する、認証暗号化装置。
続きを表示（約 1,500 文字）【請求項２】
前記平文処理手段は、予め定められた第１の長さの前記第１の値を生成し、
前記暗号文処理手段は、予め定められた第２の長さの前記第２の値を生成する、
請求項１に記載の認証暗号化装置。
【請求項３】
前記平文処理手段は、前記第１の長さが前記長さｔである前記第１の値を生成し、
前記暗号文処理手段は、前記第２の長さが前記長さｔである前記第２の値を生成する、
請求項２に記載の認証暗号化装置。
【請求項４】
前記平文処理手段は、前記平文のビット列のうちの一部である前記第１の長さのビット列を抽出することで、前記第１の値を生成し、
前記暗号文処理手段は、前記暗号文のビット列のうちの一部である前記第２の長さのビット列を抽出することで、前記第２の値を生成する、
請求項２に記載の認証暗号化装置。
【請求項５】
前記平文の長さは、前記長さｔよりも長く、
前記平文処理手段は、前記平文のビット列のうちの前記長さｔのビット列を抽出することで、前記第１の値を生成し、
前記暗号文処理手段は、前記暗号文のビット列のうちの前記長さｔのビット列を抽出することで、前記第２の値を生成する、
請求項４に記載の認証暗号化装置。
【請求項６】
前記第１の値と前記第２の値とを用いて、前記第１の長さと前記第２の長さとの和よりも短い第３の長さの１つの前記入力値を算出する算出手段、
をさらに有し、
前記タグ生成手段は、前記鍵と、前記ナンスと、前記関連データと、１つの前記入力値とを前記ハッシュ関数に入力して、前記長さｔのハッシュ値を前記認証用タグとして生成する、
請求項２に記載の認証暗号化装置。
【請求項７】
前記平文処理手段は、前記第１の長さが前記長さｔである前記第１の値を生成し、
前記暗号文処理手段は、前記第２の長さが前記長さｔである前記第２の値を生成し、
前記算出手段は、前記第１の値と前記第２の値とを用いて、前記第３の長さが前記長さｔである前記入力値を算出する、
請求項６に記載の認証暗号化装置。
【請求項８】
前記算出手段は、前記第１の値と前記第２の値との排他的論理和によって、前記第３の長さが前記長さｔである前記入力値を算出する、
請求項７に記載の認証暗号化装置。
【請求項９】
ナンス及び関連データを含むＴｗｅａｋと、鍵とを用いて、暗号文を復号して当該暗号文の長さと同じ長さの平文を生成する復号手段と、
前記平文から検証用タグの生成のために用いられる第１の値を生成する平文処理手段と、
前記暗号文から前記検証用タグの生成のために用いられる第２の値を生成する暗号文処理手段と、
前記鍵と、前記ナンスと、前記関連データと、前記第１の値及び前記第２の値に対応する１つ又は２つの入力値とをハッシュ関数に入力して、予め定められた長さｔのハッシュ値を前記検証用タグとして生成するタグ生成手段と、
前記検証用タグと、前記長さｔの入力された認証用タグとを比較することによって、改ざんの有無を検証し、検証結果を出力するための制御を行う検証手段と、
を有する、認証復号装置。
【請求項１０】
前記平文処理手段は、予め定められた第１の長さの前記第１の値を生成し、
前記暗号文処理手段は、予め定められた第２の長さの前記第２の値を生成する、
請求項９に記載の認証復号装置。
（【請求項１１】以降は省略されています）
発明の詳細な説明【技術分野】
【０００１】
本開示は、認証暗号化装置、認証復号装置、認証暗号システム、方法及びプログラムに関する。
続きを表示（約 2,900 文字）【背景技術】
【０００２】
事前に共有された秘密鍵を用いて、平文メッセージに対して暗号化と改ざん検知用の認証タグ計算とを同時に適用する認証暗号（Authenticated Encryption with Associated Data；ＡＥＡＤ）という技術が知られている。通信路に認証暗号ＡＥＡＤを適用することにより、盗聴に対する内容の秘匿と、不正な改ざんに対する検知とが可能となり、結果として通信内容に対する強力な保護が実現される。また、強力な安全性を達成できる暗号部品（プリミティブ）として、ＷＴＢＣ（Wide tweakable block cipher）が知られている。ＷＴＢＣを部品として用いてＡＥＡＤを実現することにより、強力な安全性を達成可能な認証暗号を実現できる。
【０００３】
また、認証暗号に関する技術としては、例えば、非特許文献１及び非特許文献２に開示された技術が知られている。非特許文献１及び非特許文献２は、ＣＭＴ－４ｓｅｃｕｒｉｔｙというＫｅｙｃｏｍｍｉｔｔｉｎｇｓｅｃｕｒｉｔｙ（キーコミッテングセキュリティ；鍵関与安全性）を達成できるＡＥＡＤの方式を開示している。
【先行技術文献】
【非特許文献】
【０００４】
John Chan and Phillip Rogaway、"On Committing Authenticated-Encryption"、September 26, 2022、https://eprint.iacr.org/2022/1260.pdf
Mihir Bellare and Viet Tung Hoang、"Efficient Schemes for Committing Authenticated Encryption"、May 11, 2022、https://eprint.iacr.org/2022/268.pdf
【発明の概要】
【発明が解決しようとする課題】
【０００５】
単にＷＴＢＣを用いてＡＥＡＤを実現するだけでは、ＣＭＴ－４ｓｅｃｕｒｉｔｙ（Ｋｅｙｃｏｍｍｉｔｔｉｎｇｓｅｃｕｒｉｔｙ）という安全性が達成されない可能性がある。一方、ＷＴＢＣを用いてＡＥＡＤを実現する手法を非特許文献１及び非特許文献２の手法に適用すると、暗号化側から復号側へ出力されるデータ量が増大してしまうため、通信経路における負荷が増大する可能性がある。したがって、非特許文献１及び非特許文献２の技術では、高い安全性を実現しようとすると通信経路における負荷が増大してしまう可能性がある。
【０００６】
本開示の目的は、このような課題を解決するためになされたものであり、高い安全性を実現しつつ通信経路における負荷の増大を抑制することが可能な、認証暗号化装置、認証復号装置、認証暗号システム、方法及びプログラムを提供することにある。
【課題を解決するための手段】
【０００７】
本開示にかかる認証暗号化装置は、ナンス及び関連データを含むＴｗｅａｋと、鍵とを用いて、平文を暗号化して当該平文の長さと同じ長さの暗号文を生成する暗号化手段と、前記平文から認証用タグの生成のために用いられる第１の値を生成する平文処理手段と、前記暗号文から前記認証用タグの生成のために用いられる第２の値を生成する暗号文処理手段と、前記鍵と、前記ナンスと、前記関連データと、前記第１の値及び前記第２の値に対応する１つ又は２つの入力値とをハッシュ関数に入力して、予め定められた長さｔのハッシュ値を前記認証用タグとして生成するタグ生成手段と、を有する。
【０００８】
また、本開示にかかる認証復号装置は、ナンス及び関連データを含むＴｗｅａｋと、鍵とを用いて、暗号文を復号して当該暗号文の長さと同じ長さの平文を生成する復号手段と、前記平文から検証用タグの生成のために用いられる第１の値を生成する平文処理手段と、前記暗号文から前記検証用タグの生成のために用いられる第２の値を生成する暗号文処理手段と、前記鍵と、前記ナンスと、前記関連データと、前記第１の値及び前記第２の値に対応する１つ又は２つの入力値とをハッシュ関数に入力して、予め定められた長さｔのハッシュ値を前記検証用タグとして生成するタグ生成手段と、前記検証用タグと、前記長さｔの入力された認証用タグとを比較することによって、改ざんの有無を検証し、検証結果を出力するための制御を行う検証手段と、を有する。
【０００９】
また、本開示にかかる認証暗号システムは、認証暗号化装置と、前記認証暗号化装置との間で通信を行う認証復号装置と、を有し、前記認証暗号化装置は、ナンス及び関連データを含むＴｗｅａｋと、鍵とを用いて、平文を暗号化して当該平文の長さと同じ長さの暗号文を生成する暗号化手段と、前記平文から認証用タグの生成のために用いられる第１の値を生成する第１の平文処理手段と、前記暗号文から前記認証用タグの生成のために用いられる第２の値を生成する第１の暗号文処理手段と、前記鍵と、前記ナンスと、前記関連データと、前記第１の値及び前記第２の値に対応する１つ又は２つの入力値とをハッシュ関数に入力して、予め定められた長さｔのハッシュ値を前記認証用タグとして生成する第１のタグ生成手段と、を有し、前記認証復号装置は、前記ナンス及び前記関連データを含むＴｗｅａｋと、前記鍵とを用いて、入力された暗号文を復号して当該暗号文の長さと同じ長さの平文を生成する復号手段と、復号によって得られた前記平文から検証用タグの生成のために用いられる第３の値を生成する第２の平文処理手段と、入力された前記暗号文から前記検証用タグの生成のために用いられる第４の値を生成する第２の暗号文処理手段と、前記鍵と、前記ナンスと、前記関連データと、前記第３の値及び前記第４の値に対応する１つ又は２つの入力値とをハッシュ関数に入力して、前記長さｔのハッシュ値を前記検証用タグとして生成する第２のタグ生成手段と、前記検証用タグと、入力された前記認証用タグとを比較することによって、改ざんの有無を検証し、検証結果を出力するための制御を行う検証手段と、を有する。
【００１０】
また、本開示にかかる認証暗号化方法は、ナンス及び関連データを含むＴｗｅａｋと、鍵とを用いて、平文を暗号化して当該平文の長さと同じ長さの暗号文を生成し、前記平文から認証用タグの生成のために用いられる第１の値を生成し、前記暗号文から前記認証用タグの生成のために用いられる第２の値を生成し、前記鍵と、前記ナンスと、前記関連データと、前記第１の値及び前記第２の値に対応する１つ又は２つの入力値とをハッシュ関数に入力して、予め定められた長さｔのハッシュ値を前記認証用タグとして生成する。
（【００１１】以降は省略されています）

関連特許