特許ウォッチ

公開番号2025151960
公報種別公開特許公報(A)
公開日2025-10-09
出願番号2024053608
出願日2024-03-28
発明の名称暗号化装置
出願人ローム株式会社
代理人弁理士法人太陽国際特許事務所
主分類G09C 1/00 20060101AFI20251002BHJP(教育;暗号方法;表示;広告;シール)
要約【課題】従来に比べてDPA等のサイドチャネル攻撃に対する安全性を向上させる暗号化装置を提供する。
【解決手段】非線形変換を行う第2の演算の演算において、所定のブロック単位で暗号データに鍵情報の要素を入れる第1の演算の出力の複数のブロックの演算タイミングをランダムに変更し、前記複数のブロックの順番をランダムに組み替え、演算タイミングをランダムに変更し、順番をランダムに組み替えた後の前記複数のブロックのそれぞれに対して所定の演算を行い、前記所定の演算を行った後の前記複数のブロックの演算タイミング及び前記複数のブロックの順番を元に戻す、暗号化装置が提供される。
【選択図】図1
特許請求の範囲【請求項１】
鍵情報を用いてデータを演算するラウンドにおいて、最初のラウンドから最後の１つ前までのラウンドまで、所定のブロック単位で暗号データに前記鍵情報の要素を入れる第１の演算、非線形変換を行う第２の演算、前記ブロックの行をシフトする第３の演算、前記ブロックの列を転置する第４の演算の順で実行することを含む演算を行い、最後のラウンドで、前記第１の演算を含む演算を行う演算部を備え、
前記演算部は、前記第２の演算において、
前記第１の演算の出力の複数のブロックの演算タイミングをランダムに変更し、前記複数のブロックの順番をランダムに組み替え、
演算タイミングをランダムに変更し、順番をランダムに組み替えた後の前記複数のブロックのそれぞれに対して所定の演算を行い、
前記所定の演算を行った後の前記複数のブロックの演算タイミング及び前記複数のブロックの順番を元に戻す、暗号化装置。
続きを表示（約 570 文字）【請求項２】
前記演算部は、前記第２の演算において、前記第１の演算の出力の前記複数のブロックの演算タイミングをランダムに変更した後に、前記複数のブロックの順番をランダムに組み替える、請求項１に記載の暗号化装置。
【請求項３】
前記演算部は、前記第２の演算において、前記第１の演算の出力の前記複数のブロックの演算タイミングをランダムに変更する前に、前記複数のブロックの順番をランダムに組み替える、請求項１に記載の暗号化装置。
【請求項４】
前記演算部は、前記第２の演算において、前記所定の演算を行った後の前記複数のブロックの演算タイミングを元に戻した後に、前記複数のブロックの順番を元に戻す、請求項１～３のいずれか１項に記載の暗号化装置。
【請求項５】
前記演算部は、ＳｕｂＢｙｔｅｓの演算において、前記所定の演算を行った後の前記複数のブロックの演算タイミングを元に戻す前に、前記複数のブロックの順番を元に戻す、請求項１～３のいずれか１項に記載の暗号化装置。
【請求項６】
前記第１の演算はＡｄｄＲｏｕｎｄＫｅｙであり、前記第２の演算はＳｕｂＢｙｔｅｓであり、前記第３の演算はＳｈｉｆｔＲｏｗｓであり、前記第４の演算はＭｉｘＣｏｌｕｍｎｓである、請求項１に記載の暗号化装置。

発明の詳細な説明【技術分野】
【０００１】
本開示は、暗号化装置に関する。
続きを表示（約 1,600 文字）【背景技術】
【０００２】
ＣＭＯＳ（ＣｏｍｐｌｅｍｅｎｔａｒｙＭｅｔａｌＯｘｉｄｅＳｅｍｉｃｏｎｄｕｃｔｏｒ）で構成されるＬＳＩ（ＬａｒｇｅＳｃａｌｅＩｎｔｅｇｒａｔｉｏｎ）等の半導体装置の動作は、一般的に内部のデータに依存して変化する。ＣＭＯＳはデータが０から１へ、また１から０へ変化した時に電流が流れる。この変化を利用してＬＳＩの動作を直接読み取る技術に、単純電力解析（ＳＰＡ：ＳｉｍｐｌｅＰｏｗｅｒＡｎａｌｙｓｉｓ）、差分電力解析（ＤｉｆｆｅｒｅｎｔｉａｌＰｏｗｅｒＡｎａｌｙｓｉｓ、ＤＰＡ）等が知られている。
【０００３】
サイドチャネル攻撃に対して安全な暗号化装置を提供する技術として、例えば特許文献１がある。特許文献１では、鍵情報を用いてデータを演算するラウンドのうち、最初のラウンドで、ＡｄｄＲｏｕｎｄＫｅｙと、ＳｕｂＢｙｔｅｓと、ＭｉｘＣｏｌｕｍｎｓとをこの順序で含む演算を行い、最後の１つ前のラウンドで、ＭｉｘＣｏｌｕｍｎｓと、ＡｄｄＲｏｕｎｄＫｅｙと、ＳｕｂＢｙｔｅｓとをこの順序で含む演算、または、ＡｄｄＲｏｕｎｄＫｅｙと、ＭｉｘＣｏｌｕｍｎｓと、ＳｕｂＢｙｔｅｓとをこの順序で含む演算を行い、最後のラウンドで、ＡｄｄＲｏｕｎｄＫｅｙを含む演算を行う技術が開示されている。
【先行技術文献】
【特許文献】
【０００４】
特開２０１１－１７５０３９号公報
【発明の概要】
【発明が解決しようとする課題】
【０００５】
ＡＥＳ（ＡｄｖａｎｃｅｄＥｎｃｒｙｐｔｉｏｎＳｔａｎｄａｒｄ）などの差分電力解析（ＤＰＡ）に対する対策として、Ｓ－Ｂｏｘの８ビットブロックをランダムに組み替える方法があるが、ＤＰＡの対策にはまだ改善の余地がある。
【０００６】
本開示は、上記の点に鑑みてなされたものであり、従来に比べてＤＰＡ等のサイドチャネル攻撃に対する安全性を向上させる暗号化装置を提供することを目的とする。
【課題を解決するための手段】
【０００７】
本開示のある観点によれば、鍵情報を用いてデータを演算するラウンドにおいて、最初のラウンドから最後の１つ前までのラウンドまで、所定のブロック単位で暗号データに前記鍵情報の要素を入れる第１の演算、非線形変換を行う第２の演算、前記ブロックの行をシフトする第３の演算、前記ブロックの列を転置する第４の演算の順で実行することを含む演算を行い、最後のラウンドで、前記第１の演算を含む演算を行う演算部を備え、前記演算部は、前記第２の演算において、前記第１の演算の出力の複数のブロックの演算タイミングをランダムに変更し、前記複数のブロックの順番をランダムに組み替え、演算タイミングをランダムに変更し、順番をランダムに組み替えた後の前記複数のブロックのそれぞれに対して所定の演算を行い、前記所定の演算を行った後の前記複数のブロックの演算タイミング及び前記複数のブロックの順番を元に戻す、暗号化装置が提供される。
【０００８】
前記演算部は、前記第２の演算において、前記第１の演算の出力の前記複数のブロックの演算タイミングをランダムに変更した後に、前記複数のブロックの順番をランダムに組み替えてもよい。
【０００９】
前記演算部は、前記第２の演算において、前記第１の演算の出力の前記複数のブロックの演算タイミングをランダムに変更する前に、前記複数のブロックの順番をランダムに組み替えてもよい。
【００１０】
前記演算部は、前記第２の演算において、前記所定の演算を行った後の前記複数のブロックの演算タイミングを元に戻した後に、前記複数のブロックの順番を元に戻してもよい。
（【００１１】以降は省略されています）

関連特許