DE69629356T2 - Verfahren und Anordnung zur blockweisen Verschlüsselung mit jeder Verschlüsselungsrunde abhängig von einen internen Zustand - Google Patents

Verfahren und Anordnung zur blockweisen Verschlüsselung mit jeder Verschlüsselungsrunde abhängig von einen internen Zustand Download PDF

Info

Publication number
DE69629356T2
DE69629356T2 DE69629356T DE69629356T DE69629356T2 DE 69629356 T2 DE69629356 T2 DE 69629356T2 DE 69629356 T DE69629356 T DE 69629356T DE 69629356 T DE69629356 T DE 69629356T DE 69629356 T2 DE69629356 T2 DE 69629356T2
Authority
DE
Germany
Prior art keywords
encryption
internal state
section
output
stored
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE69629356T
Other languages
English (en)
Other versions
DE69629356D1 (de
Inventor
Hideo Minato-ku Shimizu
Shinichi Minato-ku Kawamura
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority claimed from EP96302514A external-priority patent/EP0801477B1/de
Application granted granted Critical
Publication of DE69629356D1 publication Critical patent/DE69629356D1/de
Publication of DE69629356T2 publication Critical patent/DE69629356T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Storage Device Security (AREA)

Description

  • Die Erfindung bezieht sich auf eine Verschlüsselungsvorrichtung und ein -verfahren und insbesondere auf eine Verschlüsselungsvorrichtung und ein -verfahren, die die Sicherheit eines Chiffretextes, der bei einer Blockverschlüsselung vom Feistel-Typ erhalten wurde, verbessern kann.
  • Ein Verschlüsselungsverfahren ist bekannt, bei dem eine Chiffre bzw. ein Schlüssel mit einer relativ niedrigen Sicherheit als eine Rundfunktion (round-function) betrachtet wird, und die Sicherheit der Chiffre durch Stapeln einer Mehrzahl der Rundfunktionen verbessert wird. Eine derartige Chiffre wird eine Produktverschlüsselung genannt. Da insbesondere die Blockverschlüsselung vom Feistel-Typ sowohl bei einer Verschlüsselungsschaltung als auch bei einer Eetschlüsselungsschaltung gemeinsam verwendet werden kann, gibt es einen Vorteil, weil die Größe der Vorrichtung verringert werden kann. Eine derartige Verschlüsselungsvorrichtung wird in "Modern Encryption Theory", verfasst von Shinichi Ikeno und Kenji Koyama und veröffentlicht von The Institute of Electronics, Information and Communication Engineers, offenbart.
  • Die japanischen Patentanmeldungen mit den KOKAI-Veröffentlichungs-Nr. 51-108701 und 51-108702 offenbaren das Grundkonzept einer Verschlüsselung vom DES-Typ (Data Encryption Standard type), der als eine typische Verschlüsselung der Blockverschlüsselung vom Feistel-Typ bekannt ist.
  • Außerdem offenbart die japanische Patentanmeldung KOKAI-Veröffentlichungs-Nr. 6-266284 ein Verfahren, bei dem ein als eine Bitfolge dienender vorübergehender Schlüssel zum Steuern einer Verschlüsselung jedes Mal aktualisiert wird, wenn die Verschlüsselung ausgeführt wird, wodurch eine große Anzahl von Chiffretexten, die durch Verschlüsseln mit dem gleichen Schlüssel beim Verschlüsseln eines langen Klartextes erhalten werden, einem Bediener nicht zur Verfügung gestellt werden.
  • Als ein nützliches Verfahren zum Entschlüsseln der oben erwähnten Blockverschlüsselung vom Feistel-Typ ist ein differentieller Angriff bekannt, bei dem die Beziehung zwischen der Eingabe und der Ausgabe in einem Umwandlungsabschnitt berücksichtigt wird, um den Schlüssel zu analysieren. Um den Chiffretext gegen den obigen differentiellen Angriff zu schützen, kann die Anzahl von Stufen des Umwandlungsabschnitts erhöht werden.
  • Die folgenden Probleme traten jedoch bei dem oben erwähnten Stand der Technik auf.
  • Genauer gesagt wird, wenn die Anzahl von Stufen des Umwandlungsabschnitts erhöht wird, um den Chiffretext gegen den differentiellen Angriff zu schützen, die Verarbeitungsgeschwindigkeit verringert. Umgekehrt wird, wenn die Anzahl von Stufen des Umwandlungsabschnitts unter Berücksichtigung der Verarbeitungsgeschwindigkeit verringert wird, der Chiffretext durch den differentiellen Angriff entschlüsselt.
  • Eine Aufgabe der Erfindung besteht darin, eine Verschlüsselungsvorrichtung und ein -verfahren bereitzustellen, die die Sicherheit eines Chiffretexts sogar in einem Fall verbessern können, bei dem eine Vorrichtung durch einen Umwandlungsabschnitt mit einer kleinen Anzahl von Stufen unter Berücksichtigung einer Verarbeitungsgeschwindigkeit strukturiert ist.
  • Um die obige Aufgabe zu erreichen, wird gemäß einem ersten Aspekt der Erfindung eine Verschlüsselungsvorrichtung mit einer Mehrzahl Stufen von Umwandlungsabschnitten bereitgestellt, wobei jeder Umwandlungsabschnitt umfasst: Speichermittel zum Speichern eines internen Zustands; Intern-Zustandsaktualisierungsmittel zum Aktualisieren des internen Zustands, der in dem Speichermittel gespeichert ist; und Verschlüsselungsmittel zum Ausführen einer Verschlüsselung bei Empfang zu verschlüsselnder Daten, eines Verschlüsselungsschlüssels und des in dem Speichermittel gespeicherten internen Zustands, wobei der in dem Speichermittel gespeicherte interne Zustand von dem Intern-Zustandsaktualisierungsmittel jedes Mal aktualisiert wird, wenn die Verschlüsselung von dem Verschlüsselungsmittel ausgeführt wird.
  • Gemäß einem zweiten Aspekt der Erfindung wird eine Verschlüsselungsvorrichtung mit einer Mehrzahl Stufen von Umwandlungsabschnitten bereitgestellt, wobei jeder Umwandlungsabschnitt umfasst: Speichermittel zum Speichern eines internen Zustands; Intern-Zustandsaktualisierungsmittel zum Aktualisieren des internen Zustands, der in dem Speichermittel gespeichert ist; Verschlüsselungsmittel zum Ausführen einer Verschlüsselung bei Empfang von zu verschlüsselnden Daten, eines Verschlüsselungsschlüssels und des in dem Speichermittel gespeicherten internen Zustands; und Ausgabesteuermittel zum Steuern einer Ausgabe des Verschlüsselungsmittels in Übereinstimmung mit dem in dem Speichermittel gespeicherten internen Zustand, wobei der in dem Speichermittel gespeicherte interne Zustand von dem Intern-Zustandsaktualisierungsmittel jedes Mal aktualisiert wird, wenn die Verschlüsselung von dem Verschlüsselungsmittel ausgeführt wird.
  • Gemäß einem dritten Aspekt der Erfindung wird ein Verschlüsselungsverfahren mit einer Mehrzahl von Umwandlungsschritten bereitgestellt, wobei jeder Umwandlungsschritt umfasst: einen Speicherschritt zum Speichern eines internen Zustands; einen Intern-Zustandsaktualisierungsschritt zum Aktualisieren des von dem Speicherschritt gespeicherten internen Zustands; und einen Verschlüsselungsschritt zum Ausführen einer Verschlüsselung bei Empfang von zu verschlüsselnden Daten, eines Verschlüsselungsschlüssels und des in dem Speicherschritt gespeicherten internen Zustands; wobei der von dem Speicherschritt gespeicherte interne Zustand durch den Intern-Zustandsaktualisierungsschritt jedes Mal aktualisiert wird, wenn die Verschlüsselung von den Verschlüsselungsschritt ausgeführt wird.
  • Gemäß einem vierten Aspekt der Erfindung wird ein Verschlüsselungsverfahren mit einer Mehrzahl von Umwandlungsschritten bereitgestellt, wobei jeder Umwandlungsschritt umfasst: einen Speicherschritt zum Speichern eines internen Zustands; einen Intern-Zustandsaktualisierungsschritt zum Aktualisieren des in dem Speicherschritt gespeicherten internen Zustands; einen Verschlüsselungsschritt zum Ausführen einer Verschlüsselung bei Empfang von zu verschlüsselnden Daten, eines Verschlüsselungsschlüssels und des in dem Speicherschritt gespeichert internen Zustands; und einen Ausgabesteuerschritt zur Steuerung einer Ausgabe, die in dem Verschlüsselungsschritt in Übereinstimmung mit dem im Speicherschritt gespeicherten internen Zustand erhalten wurde, wobei der in dem Speicherschritt gespeicherte interne Zustand durch den Intern-Zustandsaktualisierungsschritt jedes Mal aktualisiert wird, wenn die Verschlüsselung von dem Verschlüsselungsschritt ausgeführt wird.
  • Diese Erfindung kann vollständiger aus der folgenden ausführlichen Beschreibung in Verbindung mit den beigefügten Zeichnungen verstanden werden, in denen zeigen:
  • 1 eine Ansicht, die die Struktur einer Rundfunktion einer Ausführungsform der Erfindung zeigt;
  • 2 eine Ansicht, die ein Beispiel der Struktur einer Produktverschlüsselung zeigt, bei der eine Anzahl n von Stufen von Rundfunktionen nebeneinander stehen;
  • 3 eine Ansicht, die einen Durchgang eines internen Zustands zeigt, der sequentiell von einer Intern-Zustandsaktualisierungsfunktion aktualisiert wird;
  • 4 eine Ansicht, die einen Vorgang in einem Fall erläutert, bei dem die Rundfunktion von 1 ein Initialisierungssignal eines internen Zustands aufweist;
  • 5 eine Ansicht, die einen Vorgang erläutert, wenn eine Verschlüsselungsvorrichtung gemäß einem Blockverschlüsselungsmodus verwendet wird;
  • 6 eine Ansicht, die einen Vorgang erläutert, wenn die Verschlüsselungsvorrichtung gemäß einem Stream-Verschlüsselungsmodus verwendet wird;
  • 7 eine Ansicht, die eine Funktion in einem Fall erläutert, bei dem die Erfindung auf eine geheime Übertragung angewendet wird;
  • 8 eine Ansicht, die eine weitere Ausführungsform in einem Fall zeigt, bei dem die Erfindung auf die geheime Übertragung angewendet wird;
  • 9 eine Ansicht, die die spezielle Struktur der Intern-Zustandsaktualisierungsfunktion von 1 zeigt;
  • 10 eine Ansicht, die die gesamte Struktur einer DES-Verschlüsselung zeigt;
  • 11 eine Ansicht, die die spezielle Struktur einer F-Funktion bei der DES-Verschlüsselung zeigt;
  • 12 eine Permutationstabelle einer expansiven Permutation E;
  • 13 eine Tabelle, die den Inhalt einer Permutation P zeigt;
  • 14 eine Ansicht, die den Inhalt einer S-Box zeigt;
  • 15 eine Ansicht, die die Struktur zeigt, die als eine Modifikation der Erfindung zum Verbessern der Sicherheit der DES-Verschlüsselung dient;
  • 16 eine Ansicht, die eine weitere Modifikation zeigt, um die Sicherheit der DES-Verschlüsselung zu verbessern;
  • 17 eine expansive Permutationstabelle der Modifikation von 16;
  • 18 eine Ansicht, die noch eine weitere Modifikation zeigt, um die Sicherheit der DES-Verschlüsselung zu verbessern;
  • 19 eine Ansicht, die noch eine weitere Modifikation zeigt, um die Sicherheit der DES-Verschlüsselung zu verbessern;
  • 20 eine Ansicht, die noch eine weitere Modifikation zeigt, um die Sicherheit der DES-Verschlüsselung zu verbessern;
  • 21 eine Ansicht, die noch eine weitere Modifikation zeigt, um die Sicherheit der DES-Verschlüsselung zu verbessern;
  • 22 eine Ansicht, die die Struktur der Rundfunktion bei einer Verschlüsselungsvorrichtung zum Entschlüsseln eines durch die Verschlüsselungsvorrichtung der Erfindung verschlüsselten Klartexts zeigt;
  • 23 eine Ansicht, die die Korrespondenz zwischen einem Entschlüsselungsschlüssel und einem Verschlüsselungsschlüssel bei jeder Stufe der Verschlüsselung eines Feistel-Typs zeigt;
  • 24 eine Ansicht, die die Korrespondenz zwischen einem internen Zustand für eine Entschlüsselung und einen internen Zustand für eine Verschlüsselung in jeder Stufe der Verschlüsselung eines Feistel-Typs zeigt;
  • 25 eine Ansicht, die die Struktur zeigt, bei der die Verschlüsselungsvorrichtung der Erfindung und die Entschlüsselungsvorrichtung kombiniert werden; und
  • 26 ein Zeitdiagramm einer Entschlüsselungsverarbeitung vom Pipeline-Typ.
  • Das folgende wird die Ausführungsformen der Erfindung speziell mit Bezug auf die Zeichnungen erläutern.
  • 1 ist eine Ansicht, die die Struktur einer als einen Umwandlungsabschnitt dienenden Rundfunktion 8 zeigt, auf die die Erfindung angewendet wird. Die Rundfunktion 8 umfasst eine F-Funktion 1, die als ein Verschlüsselungsmittel zum Ausführen einer vorbestimmten Verschlüsselung bei Empfang eines zu verschlüsselnden Klartextes 4, eines Verschlüsselungsschlüssels 5 und eines internen Zustandes 6 dient, um eine Ausgabe 7 auszugeben, ein Intern-Zustandsspeichermittel 2 zum Speichern des internen Zustands 6 und eine Intern-Zustandsaktualisierungsfunktion 3 zum Aktualisieren des internen Zustands 6 jedes Mal, wenn die Verschlüsselung von der F-Funktion 1, d. h. zur gleichen Zeit wie das Verschlüsselungsverfahren, ausgeführt wird. 1 zeigt die Rundfunktion der ersten Stufe. Hinsichtlich der Rundfunktion der zweiten Stufe und der folgenden wird eine Ausgabe der Rundfunktion der vorhergehenden Stufe anstatt des Klartextes 4 eingegeben.
  • Gemäß der oben erwähnten Struktur werden sogar in einem Fall, bei dem der gleiche Klartext und Verschlüsselungsschlüssel eingegeben werden, die Ausgaben in Übereinstimmung mit dem aktualisierbaren internen Zustand geändert. Deshalb ist es möglich, sich gegen einen differentiellen Angriff brauchbar zu schützen, der auf der Analyse der Beziehung zwischen der Eingabe und der Ausgabe der Rundfunktion basiert. Die Sicherheit der Rundfunktion kann ebenfalls verbessert werden. Außerdem kann unter Berücksichtigung des gleichen Sicherheitsgrades die Vorrichtung von der Rundfunktion mit einer kleinen Anzahl von Stufen aufgebaut sein. Außerdem bleibt, wenn der interne Zustand zum Vergleich zeigt, wie die F-Funktion-Verschlüsselungsverarbeitung aktualisiert wird, der Verarbeitungswirkungsgrad der gesamten Rundfunktion im wesentlichen unverändert, so dass die Verarbeitungsgeschwindigkeit erhöht werden kann, um der Abnahme in der Anzahl von Stufen der Rundfunktionen äquivalent zu sein.
  • 2 ist eine Ansicht, die ein Beispiel der Struktur einer Produktverschlüsselung zeigt, bei der eine Anzahl n von Stufen von Rundfunktionen gegenüberliegend angeordnet sind. In der Figur wird ein Verschlüsselungsschlüssel 16 in einen Schlüsselplanungsabschnitt 17 eingegeben, um in eine Anzahl n expandierter Schlüssel 1 bis n umgewandelt zu werden, und die Anzahl n von expandierten Schlüsseln 1 bis n werden in Rundfunktionen 12 bis 15 der n Stufen jeweils eingegeben. Gemäß der oben erwähnten Struktur wird ein Klartext 11 als ein Chiffretext 18 ausgegeben, nachdem die Verschlüsselungsverarbeitung dazu von den Rundfunktionen der n Stufen ausgeführt wurde. In diesem Fall kann der Klartext 11 und der Chiffretext 18 auf eine feste Länge oder eine variabler Länge eingestellt sein. Außerdem kann die Länge des Klartextes 1 und diejenige des Chiffretextes 18 ungleiche untereinander sein.
  • 3 ist eine Ansicht, die einen Verlauf eines internen Zustands zeigt, der sequentiell von der Intern-Zustandsaktualisierungsfunktion 3 aktualisiert wird. Genauer gesagt wird ein interner Zustand 1 (22) zuerst gleich einem Anfangszustand 21 gesetzt. Wenn der interne Zustand 1 (22) von einer Intern-Zustandsaktualisierungsfunktion 23 aktualisiert wird, um in einen internen Zustand 2 (22) gesetzt zu werden, dann wird der interne Zustand 2 (22) von der Intern-Zustandsaktualisierungsfunktion 23 aktualisiert. Auf diese Art und Weise wird der interne Zustand sequentiell aktualisiert. In einem Fall, bei dem die Intern-Zustandsaktualisierungsfunktion 23 eine einseitig wirkende Funktion ist, kann der interne Zustand nur vorwärts schreiten, so dass der interne Zustand mit einer Nummer kleiner als k nicht bekannt ist, sogar wenn ein interner Zustand k einer dritten Person bekannt ist, und wobei der interne Zustand mit einer Nummer größer als k entschlüsselt wird. Daher kann gemäß der Erfindung die Sicherheit der Rundfunktion beibehalten werden.
  • 4 ist eine Ansicht, die einen Vorgang in einem Fall erläutert, bei dem die Rundfunktion 8 von 1 einen Eingabeabschnitt zum Eingeben eines Intern-Zustandsinitialisierungssignals 31 aufweist. Ein in einem Intern-Zustandsspeichermittel 33 gespeicherter interner Zustand wird an eine F-Funktion 35 und eine Intern Zustandsaktualisierungsfunktion 34 übertragen, um in einen neuen internen Zustand aktualisiert zu werden. Zu dieser Zeit initialisiert, wenn das von der äußeren Einheit gelieferte Intern-Zustandsinitialisierungssignal 31 in einen Intern-Zustandsinitialisierungssteuerabschnitt 32 eingegeben wird, der Intern-Zustandsinitialisierungssteuerabschnitt 32 den in dem Intern-Zustandsspeichermittel 33 gespeicherten internen Zustand.
  • Wie es oben erwähnt ist, kann gemäß der oben erwähnten Ausführungsform die Initialisierung des internen Zustands von der äußeren Einheit gesteuert werden. In diesem Fall weist in Anbetracht der Sicherheit der Intern-Zustandsinitialisierungssteuerabschnitt 32 vorzugsweise eine Funktion zum Überwachen der Frequenz der Initialisierung auf. Es ist beispielsweise vorzuziehen, einen Monitormechanismus aufzuweisen, um zu überwachen, dass nur eine Initialisierung während einer Verschlüsselungsverarbeitung ausgeführt wird.
  • 5 ist eine Ansicht, die einen Vorgang erläutert, wenn eine Verschlüsselungsvorrichtung in einem Blockverschlüsselungsmodus verwendet wird. In einem Fall, bei dem ein Klartext 41 aus eine Mehrzahl von Klartextblöcken 42, 43, 44 gebildet wird, wird der Klartext 41 jedes Blocks durch jede der Verschlüsselungsfunktionen 46, 50 und 52 verschlüsselt, um in die jeweiligen Verschlüsselungsblöcke 54, 55 und 56 umgewandelt zu werden. Dann werden diese Blöcke nebeneinander angeordnet, um einen Chiffretext 53 zu bilden.
  • Der interne Zustand jeder der Verschlüsselungsfunktionen 46, 50, 52 jedes Blocks kann durch jedes Initialisierungssignal 45, 49, 51 initialisiert werden. Dadurch werden beispielsweise, wenn der Klartextblock 43 und der Klartextblock 44 den gleichen Inhalt A, A aufweisen, diese Klartextblöcke 43 und 44 in Verschlüsselungsblöcke 55 und 56 mit dem gleichen Inhalt B, B umgewandelt, wenn diese Klartextblöcke verschlüsselt werden.
  • Wie es oben erwähnt ist, kann gemäß der oben erwähnten Ausführungsform die Verschlüsselungsvorrichtung mit der Initialisierungsfunktion unter dem Blockverschlüsselungsmodus betrieben werden.
  • 6 ist eine Ansicht, die einen Vorgang erläutert, wenn die Verschlüsselungsvorrichtung unter einem Stream- bzw. Stromverschlüsselungsmodus verwendet wird. In einem Fall, bei dem ein Klartext 61 aus einer Mehrzahl von Klartextblöcken 62, 63, 64 gebildet ist, wird der Klartext 61 jeder der Blöcke durch jede der Verschlüsselungsfunktionen 70, 72 und 73 verschlüsselt, um in jeden der Verschlüsselungsblöcke 76, 77 und 78 umgewandelt zu werden. Dann werden diese Blöcke nebeneinander angeordnet, um einen Chiffretext 75 zu bilden. Bei dieser Ausführungsform wird vor der Verschlüsselung der interne Zustand der Verschlüsselungsfunktion 70 einmal von dem Initialisierungssignal 65 initialisiert. Daher werden beispielsweise sogar in einem Fall, bei dem die Klartextblöcke 63 und 64 den gleichen Inhalt A, A aufweisen, diese Klartextblöcke in die Verschlüsselungsblöcke 77 und 78 mit unterschiedlichen Inhalten B, B' umgewandelt, wenn diese Klartextblöcke 63 und 64 verschlüsselt werden. Mit anderen Worten wird die Beziehung von B ≠ B' festgelegt.
  • Gemäß der oben erwähnten Ausführungsform kann die Verschlüsselungsvorrichtung mit der Initialisierungsfunktion unter dem Stromverschlüsselungsmodus betrieben werden.
  • 7 ist eine Ansicht, die eine Funktion in einem Fall erläutert, bei dem die Erfindung auf eine geheime Übertragung angewendet wird. Bei einer Senderseite 87 wird ein Klartext 81 aus Klartextblöcken 82 und 83 gebildet. Der Klartext 81 jedes Blocks wird durch jede Verschlüsselungsfunktionen 84 und 85 verschlüsselt, wodurch Verschlüsselungsblöcke 87 und 88 erhalten werden. Die Verschlüsselungsblöcke 87 und 88 werden an eine Empfängerseite 97 durch einen Übertragungspfad 90 übertragen. Bei der Empfängerseite 97 wird ein Chiffretext 91 in einen Verschlüsselungsblock 92 und einen Verschlüsselungsblock 93 zerlegt, und jeder der Verschlüsselungsblöcke 92 und 93 wird durch jede der Entschlüsselungsfunktionen 94 und 95 entschlüsselt, wodurch Klartextblöcke 97 und 98 erhalten werden. Dann werden diese Klartextblöcke 97 und 98 nebeneinander angeordnet, so dass ein ursprünglicher Klartext 96 wiedergewonnen wird.
  • Zu dieser Zeit werden Initialisierungssignal-Erzeugnisabschnitte 89 und 99 an der Senderseite 87 bzw. der Empfängerseite 97 bereitgestellt. Dann werden die internen Zustände der Verschlüsselungsfunktionen 84 und 85 und die internen Zustände der Entschlüsselungsfunktionen 94 und 95 bei einer vorgegebenen Zeitsteuerung durch Initialisierungssignale 200, 201, 202 bzw. 203 initialisiert. In diesem Fall wird die Initialisierungszeitsteuerung in den Initiali sierungssignal-Erzeugungsabschnitten 89 und 99 aufgebaut. Um eine Übertragungsmenge der Initialisierungszeitsteuerung zu verringern, können außerdem die Initialisierungssignal-Erzeugungsabschnitte 89 und 99 durch einen Zufallszahlgenerator aufgebaut sein, und nur die Spezies der Zufallszahl braucht ersetzt zu werden.
  • Gemäß der oben erwähnten Ausführungsform muss das Empfängerende 97 die Initialisierungszeitsteuerung sowie auch den Entschlüsselungsschlüssel aufweisen, um den gleichen Klartext wie den Klartext des Senderendes 87 wiederzugewinnen. Deshalb muss, um den Chiffretext zu entschlüsseln, ein unfairer Interzeptor die Initialisierungszeitsteuerung sowie auch den Entschlüsselungsschlüssel aufweisen. Daher kann gemäß der Erfindung die geheime Übertragung sicherer ausgeführt werden.
  • 8 ist eine Ansicht, die die weitere Ausführungsform in einem Fall zeigt, bei dem die Erfindung auf die geheime Übertragung angewendet wird.
  • Bei dieser Ausführungsform werden an der Übertragungsseite 87 besondere Markierungen 204 und 206, die als Kennzeichnungsdaten zum Kennzeichnen der Initialisierung dienen, zu den Klartextblöcken 82 und 83 hinzugefügt. Jeder der Klartextblöcke 82 und 83, die den Klartext 81 bilden, wird in jeden der Verschlüsselungsblöcke 87 und 88 durch jede der Verschlüsselungsfunktionen 84 und 85 umgewandelt. Dann werden die Verschlüsselungsblöcke 87 und 88 nebeneinander angeordnet, wodurch der Chiffretext 86 erhalten wird. Zu dieser Zeit wird beim Erfassen der besonderen Markierung 204 des Klartextblockes 82 oder der besonderen Markierung 206 des Klartextblockes 83 der interne Zustand jeder der Verschlüsselungsfunktionen 84 und 85 durch jedes der Initialisierungssignale 205 und 207 initialisiert. Der Chiffretext 86 wird zu der Empfängerseite 97 durch den Übertragungspfad 90 übertragen.
  • An der Empfängerseite 97 wird der empfangene Chiffretext 91 in den Verschlüsselungsblock 92 und den Verschlüsselungsblock 93 zerlegt, und jeder der Verschlüsselungsblöcke 92 und 93 wird in jeden der Klartextblöcke 97 und 98 durch jede der Entschlüsselungsfunktionen 94 und 95 umgewandelt. In diesem Fall wird beim Erfassen der besonderen Markierungen 208 und 210 zum Kennzeichnen der Initialisierung der Klartextblöcke 97 und 98 der interne Zustand von jeder der Entschlüsselungsfunktionen 94 und 95 durch jedes der Initialisierungssignale 209 und 211 initialisiert. In diesem Fall können die besonderen Markierungen 208 und 210 der Klartextblöcke 97 und 98 nach Bedarf entfernt werden, und die Klartextblöcke 97 und 98 ohne eine besondere Markierung können nebeneinander angeordnet werden, wodurch der Klartext 96 erhalten wird.
  • Da bei der oben erwähnten Ausführungsform die Zeitsteuerung für die Initialisierung des internen Zustands in dem Klartext enthalten ist, ist es nicht notwendig, die Zeitsteuerung der Initialisierung im voraus zwischen dem Senderende und dem Empfängerende einzustellen.
  • 9 ist eine Ansicht, die die spezielle Struktur der Intern-Zustandsaktualisierungsfunktion 3 von 1 zeigt. Die Intern-Zustandsaktualisierungsfunktion 3 umfasst ein lineares Register, das aus einem Speicherelement 100 und einem Addierer 102 gebildet wird. Das Speicherelement 100 ist ein Element, das ein Bit Daten speichern kann, und beispielsweise wird ein D Flip-Flop verwendet.
  • Unterschiedliche Arten von charakteristischen Polynomen werden demgemäss erhalten, ob die jeweiligen Abgriffe 101 miteinander verbunden sind oder nicht. Wenn beispielsweise der Zustand, in dem die Abgriffe 101 miteinander verbunden sind, auf 1 gesetzt ist, und der Zustand, in dem die Abgriffe 101 nicht verbunden sind, auf 0 gesetzt ist, kann das folgende charakteristische Polynom erhalten werden. CrXr + Cr-1Xr-1 + ... + C1x + C0
  • Insbesondere ist bekannt, dass in einem Fall, bei dem ein repräsentatives Polynom ein primitives Polynom ist, das ein lineares Schieberegister einer maximale Kettenlänge ausgibt ("Coding Theory" von Hideki Imai, veröffentlicht von The Institute of Electronics, Information and Communication Engineers). Das folgende primitive Polynom ist als ein Beispiel bekannt. X31 + X3 + 1
  • Jedes Mal, wenn ein Taktsignal in das lineare Schieberegister eingegeben wird, wird der Speicherinhalt des Speicherelements 100 von dem Inhalt des Speicherelements 100 zur Linken aktualisiert, dann wird das Ergebnis der Addition, die von dem Addierer 102 in Übereinstimmung mit dem Verbindungszustand des Abgriffs 101 ausgeführt wird, in das Speicherelement 100 am weitesten links eingegeben und als eine Ausgabe 103 ausgegeben.
  • Das folgende wird das andere Verfahren zum Verbessern der Sicherheit der bekannten Blockverschlüsselung, d. h. die DES-Verschlüsselung erläutern.
  • Zuerst werden die Grundzüge der DES-Verschlüsselung erläutert. 10 ist eine Ansicht, die die gesamte Struktur der DES-Verschlüsselung erläutert. Hinsichtlich eines zu verschlüsselnden 64-Bit-Klartextes 105 wird die Reihenfolge von Bits durch eine Anfangspermutation 106 neu angeordnet, so dass diese Bits in obere 32 Bits (Eingabe L113) und untere 32 Bits (Eingabe R114) aufgeteilt werden. Danach wird der Klartext 16-fach durch die 16-stufigen Rundfunktionen (1 bis 16) 107 umgewandelt, die die gleiche Struktur aufweisen, und eine abschließende Permutation 108 wird implementiert, wodurch ein Chiffretext 108 erhalten wird.
  • Jede Rundfunktion 107 umfasst eine F-Funktion 110, ein Exklusiv-ODER 111 und rechte und linke Umwandlungsabschnitte 112. Eingänge Li und Ri der Rundfunktionen der i-ten Stufe werden in Eingänge der Rundfunktion der (i + 1)-ten Stufe umgewandelt, wie es in den folgenden Gleichungen gezeigt ist, wobei der Schüssel der i-ten Stufe Ki ist. Ri + 1 = Li XOR F (Ri, Ki) Li + 1 = Ri
  • 11 zeigt die spezielle Struktur der F-Funktion der DES-Verschlüsselung.
  • Die F-Funktion weist zwei Eingänge, d. h. einen 32-Bit-Eingabe R115 und einen 48-Bit-Schlüssel K116 und eine Ausgabe 117 von 32 Bit auf.
  • Der Betrieb der oben beschriebenen F-Funktion wird entlang des Datenflusses erläutert.
  • Die eingegebene 32-Bit-Eingabe R115 wird in 48-Bit-Daten durch eine expansive Permutation E (118), d. h. einer E-Umwandlung expandiert. 12 ist eine Permutationstabelle der expansiven Permutation E, die oben links beginnend zeigt, welches Bit der Eingabe welchem Ausgabebit entspricht, das E-transformiert ist. Da in der Permutationstabelle von 12 oben links 32 steht, entspricht das erste Bit der E-umgewandelten Ausgabe dem 32-ten Bit der Eingabe. Das zweite Bit der E-transformierten Ausgabe entspricht dem ersten Bit der Eingabe. Das gleiche kann auf die Ausgabebits angewendet werden, die folgen.
  • Eine Exklusiv-ODER-Verknüpfung einer Ausgabe 119 der E-Umwandlung und ein Schlüssel Ki 116 werden durch eine Exklusiv-ODER-Verknüpfung 120 erhalten. Das erhaltene Ergebnis wird in acht Gruppen mit jeweils sechs Bit aufgeteilt, die in jeweilige S-Boxen (S1 bis S8) 121 einzugeben sind, die als Substitutionsabschnitte dienen. Die S-Box 121 ist eine Substitutionstabelle mit einer 6-Bit-Eingabe und einer 4-Bit-Ausgabe, und 14 zeigt ein Beispiel einer derartigen Substitutionstabelle.
  • Acht Ausgänge 122, die jeweils vier Bits der S-Box 121 aufweisen, werden gebündelt, um als eine Ausgabe 123 von 32 Bit ausgegeben zu werden. Die Reihenfolge der Bits wird durch eine P-Umwandlung 124 neu angeordnet, wodurch eine 32-Bit-Ausgabe 117 der F-Funktion erhalten wird.
  • 13 ist eine Tabelle, die den Inhalt der Permutation P zeigt. Ähnlich der expansiven Permutation E der Tabelle von 12 zeigt 13 oben links beginnend, welches Bit der Eingabe welchem Ausgabebit entspricht, das E-transformiert ist. Beispielsweise entspricht das erste Bit der Ausgabe der P-Umwandlung 124 dem 16-ten Bit der Eingabe, und das zweite Bit der Ausgabe entspricht dem siebenten Bit der Eingabe. Das gleiche kann auf die folgenden ausgegebenen Bits angewendet werden.
  • 15 ist eine Ansicht, die die Struktur zeigt, die als eine Modifikation der Erfindung zum Verbessern der Sicherheit der DES-Verschlüsselung dient. Bei dieser Modifikation wird die herkömmliche F-Funktion 110 von 10 mit der Struktur von 15 ersetzt, um die Sicherheit des Chiffretextes zu verbessern.
  • Genauer gesagt wird eine Eingabe R 125 und ein Schlüssel Ki 127 in eine herkömmliche F-Funktion 126 der DES-Verschlüsselung eingegeben, die in eine 32-Bit-Ausgabe 128 umzuwandeln ist. Die Ausgabe 128 wird in eine Eingabe L 129 und eine Eingabe R 130 aufgeteilt, die jeweils 16 Bits aufweisen. Dann wird die Eingabe L 129 als eine erste Eingabe 134 in einen Selektor 133 und ebenfalls als eine erste Eingabe 137 in einen Selektor 134 eingegeben. Außerdem wird die Eingabe R 130 als eine zweite Eingabe 135 in einen Selektor 132 und ebenfalls als eine zweite Eingabe 138 in einen Selektor 132 eingegeben.
  • Der Selektor 131 gibt entweder die Eingabe 134 oder die Eingabe 135 als eine Ausgabe 139 unter der Steuerung einer Steuereingabe 133 aus. Der Selektor 132 gibt ebenfalls entweder die Eingabe 137 oder die Eingabe 138 als eine Ausgabe 140 unter der Steuerung einer Steuereingabe 136 aus. Da in diesem Fall die beiden Steuereingänge 133 und 136 eingestellt sind, um eine komplementäre oder negative Logik zueinander zu sein, sind diese Steuereingaben immer unterschiedliche Eingaben. Mit anderen Worten wird, ob die Eingabe L 129 und die Eingabe R 130 miteinander vertauscht werden, in Übereinstimmung mit einer Bit-Steuerleitung 141 bestimmt, um eine Ausgabe der F-Funktion 129 zu erreichen.
  • Da die Steuerleitung 141 mit dem internen Zustand 142 verbunden ist, hängt von dem internen Zustand 142 ab, ob die Eingabe L 129 und die Eingabe R 130 miteinander vertauscht werden. Der interne Zustand 142 wird durch eine Intern-Zustandsaktualisierungsfunktion 143 jedes Mal aktualisiert, wenn die Verschlüsselung implementiert wird.
  • Das oben erwähnte strukturelle Verfahren ist nicht auf die DES-Verschlüsselung begrenzt und kann auf die andere Blockverschlüsselung angewendet werden, die die gleiche Struktur wie die oben erwähnte Struktur aufweist.
  • Bei der oben erwähnten Ausführungsform werden die Selektoren in der hinteren Stufe der F-Funktion bereitgestellt. Diese Selektoren können jedoch in der vorderen Stufe der F-Funktion bereitgestellt werden.
  • 16 ist eine Ansicht, die eine weitere Modifikation zeigt, um die Sicherheit der DES-Verschlüsselung zu verbessern. Die expansive Permutation E 118 von 11 wird durch eine expansive Permutation E' 144 ersetzt, deren Inhalt von einem internen Zustand 146 abhängt, wodurch die Sicher heit des Chiffretextes verbessert wird. In 16 wird eine Eingabe R 145 in die expansive Permutation E' 144 eingegeben, deren Inhalt von dem internen Zustand 146 abhängt, und wird als eine Ausgabe 147 ausgegeben.
  • 17 ist eine Ansicht, die eine Tabelle einer derartigen expansiven Permutation E' zeigt. In 17 ist Xi ein Eingabe von dem internen Zustand 146, und Ri ist eine Eingabe von einer Eingabe R 145. Sie zeigt beginnend oben links, welches Bit der Eingabe welchem E'-transformierten Ausgabe-Bit entspricht. Beispielsweise entspricht das erste Bit der Ausgabe dem ersten Bit der Eingabe von dem internen Zustand 146, und das zweite Bit der Ausgabe entspricht dem ersten Bit der Eingabe R. In diesem Fall kann eine von der in 17 gezeigten Permutation unterschiedliche Permutation als eine Permutation der expansiven Permutation E' verwendet werden.
  • 18 ist eine Ansicht, die noch eine weitere Modifikation zeigt, um die Sicherheit der DES-Verschlüsselung zu verbessern. In diesem Fall wird eine Eingabe in die S-Box in Übereinstimmung mit einem internen Zustand dynamisch geändert, um die Sicherheit der DES-Verschlüsselung zu verbessern.
  • Wenn eine expansive Permutation E 149 eine Eingabe R 149 empfängt, führt sie genauer gesagt eine expansive Permutation E 149 an der Eingabe R 149 durch und gibt eine Ausgabe aus. Zwischen dieser Ausgabe und einem Schlüssel Ki 150 wird eine Exklusiv-ODER-Verknüpfung an einem Exklusiv-ODER-Abschnitt 151 durchgeführt. Die Ausgabe des Exklusiv-ODER-Abschnitts 151 wird an eine variable Rotationsvorrichtung 153 geliefert, die die Ausgabe 151 dreht, d. h. ihre Bitposition um einen vorbestimmten Betrag verschiebt. Die variable Rotationsvorrichtung 153 stellt einen Schiebebetrag bereit, der in Übereinstimmung mit dem Wert eines internen Zustands 152 variabel ist. Danach wird die Ausgabe 154 der variablen Rotationsvorrichtung 153 in S-Boxen (S1 bis S8) 155 eingegeben.
  • Als eine variable Rotation ist ein Hochgeschwindigkeits-Montageverfahren mit einer Schieberegister (barrel shifter) bekannt. Wenn die Anzahl sich drehender Bits zu klein oder zu groß ist, wird die Wirkung der Verschlüsselung abgesenkt. Deshalb kann die Anzahl zu vertauschender bzw. sich drehender Bits auf einen vorbestimmten Bereich begrenzt sein. Wenn die Anzahl sich drehender Bits beispielsweise auf den Bereich von 8 bis 40 Bits eingestellt wird, wird das sich drehende Bit für 32 Bit erhalten. In diesem Fall kann eine Ausgabe von dem internen Zustand 152 5 Bits sein.
  • 19 ist eine Ansicht, die noch eine weitere Modifikation zeigt, um die Sicherheit der DES-Verschlüsselung zu verbessern. Eine Exklusiv-ODER-Verknüpfung wird zwischen einer Eingabe R 156 und der Ausgabe eines internen Zustands 157 an einem Exklusiv-ODER-Abschnitt 159 implementiert, und das Ergebnis wird in eine expansive Permutation E 158 eingegeben. Die Exklusiv-ODER-Verknüpfung kann durch andere Operationen, wie beispielsweise eine 32-Bit-Addition und -Subtraktion ersetzt werden.
  • 20 ist eine Ansicht, die noch eine weitere Modifikation zeigt, um die Sicherheit der DES-Verschlüsselung zu verbessern. Bei der herkömmlichen DES-Verschlüsselung wird ein Verschlüsselungsschlüssel hinzugefügt, der eine Exklusiv-ODER-Verknüpfung bei der F-Funktion verwendet. Die Sicherheit der DES-Verschlüsselung kann jedoch mit anderen Operationen weiter verbessert werden. In 20 wird an einer Eingabe R 160 eine expansive Permutation E 161 durchgeführt. Und eine Berechnung zwischen einer Ausgabe der expansiven Permutation E 161 und einem Schlüssel Ki 162 wird bei einer AUL 165 ausgeführt. Welche Art von Berechnung durchgeführt wird, wird in Übereinstimmung mit einer Ausgabe 164 eines internen Zustands 163 gekennzeichnet. Eine Ausgabe der AUL 165 wird in acht Gruppen von jeweils 6 Bits aufgeteilt und in S-Boxen (S1 bis S8) 166 eingegeben. Die Operationen, die folgen, sind die gleichen wie die herkömmliche Operation der DES-Verschlüsselung.
  • 21 ist eine Ansicht, die noch eine weitere Modifikation zeigt, um die Sicherheit der DES-Verschlüsselung zu verbessern. Bei dieser Modifikation wird die Sicherheit der DES-Verschlüsselung durch Vertauschen von Spalten der S-Box verbessert. Da jede der Reihen der S-Box der DES-Verschlüsselung eine der Zahlen von 0 bis 15 umfasst, wird die Eigenschaft nicht geändert, sogar wenn die Spalten vertauscht wird.
  • Eine Ausgabe eines internen 8-Bit-Zustands 167 wird in ein oberes 4-Bit 168 und eine unteres 4-Bit 169 aufgeteilt, um beim Kennzeichnen, welche Spalte jeder S-Box 170 vertauscht werden soll, verwendet zu werden. In diesem Fall können acht interne Zustände vorbereitet werden, um den Inhalt aller S-Boxen zu ändern. Um die Größe der Vorrichtung zu wahren, kann die Anzahl von S-Boxen zum Ändern auf weniger als acht verringert werden.
  • 22 ist eine Ansicht, die die Struktur einer Rundfunktion 177 einer Entschlüsselungsvorrichtung zum Entschlüsseln eines durch die Verschlüsselungsvorrichtung der Erfindung verschlüsselten Chiffretexts zeigt. Die Rundfunktion 177 umfasst eine F-Funktion 178, einen Reihenfolge-umkehrenden-Abschnitt 191, einen vorübergehenden Intern-Zustandsspeicherabschnitt 176, ein Intern-Zustandsspeichermittel 174 und eine Intern-Zustandsaktualisierungsfunktion 175.
  • In diesem Fall muss der interne Zustand in einer umgekehrten Reihenfolge bei einer Entschlüsselungsverarbeitung abhängig von einem zu verwendenden Verschlüsselungsmodus aktualisiert werden. In einem Fall, bei dem die Blockverschlüsselung in einem OFB-Modus (Output Feedback Mode) verwendet wird, ist eine derartige Operation unmöglich. Bei der Blockverschlüsselungsvorrichtung vom Feistel-Typ wird die Entschlüsselungsverarbeitung durch die gleichen Schritte wie bei der Verschlüsselungsverarbeitung ausgeführt, mit der Ausnahme, dass die Reihenfolge des Bereitstellens eines vorübergehenden Schlüssels umgekehrt wird. Dies bedeutet, dass die Reihenfolge des Bereitstellens des internen Zustands jeder Rundfunktion der Erfindung umgekehrt werden muss.
  • Vor der Ausführung der Entschlüsselungsverarbeitung bei der Rundfunktion 177 wird ein in dem Intern-Zustandsspeichermittel 174 gespeicherter interner Zustand durch die Intern-Zustandsaktualisierungsfunktion 175 aktualisiert und in dem vorübergehenden Intern-Zustandsspeicherabschnitt 176 gespeichert.
  • Dann wird zum Zeitpunkt der Entschlüsselungsverarbeitung ein vorübergehender Chiffretext 171, ein Entschlüsselungsschlüssel 172 und ein Signal 173, das durch Umkehren des in dem vorübergehenden Speicherabschnitt eines internen Zustands 176 gespeicherten Zustand an dem Reihenfolge-umkehrenden-Abschnitt 191 erhalten wird, in die F-Funktion 178 eingegeben, und ein vorbestimmter Verschlüsselungsprozess wird durchgeführt. Dadurch kann ein vorübergehender Klartext 179 als die Ausgabe der Rundfunktion 177 erhalten werden.
  • 23 ist eine Ansicht, die die Übereinstimmung zwischen dem Entschlüsselungsschlüssel und dem Verschlüsselungsschlüssel bei jeder Stufe der n Stufen der Verschlüsselung vom Feistel-Typ zeigt. Zum Zeitpunkt der Entschlüsselung wird der Verschlüsselungsschlüssel, der bei der n-ten Stufe als die abschließende Stufe zum Zeitpunkt der Verschlüsselung verwendet wird, als ein Entschlüsselungsschlüssel für eine erste Runde verwendet, und der Verschlüs selungsschlüssel der (n-1)-ten Stufe wird als ein Entschlüsselungsschlüssel für eine zweite Runde verwendet. Das gleiche kann auf die folgenden Operationen angewendet werden.
  • 24 ist eine Ansicht, die die Korrespondenz zwischen einem internen Zustand für eine Entschlüsselung und einem internen Zustand für eine Verschlüsselung bei jeder Stufe der Verschlüsselung vom Feistel-Typ zeigt. Der Anfangszustand für eine Entschlüsselung der ersten Runde muss der gleiche wie der Anfangszustand für eine Verschlüsselung der n-ten Runde sein. Der interne Zustand für eine Entschlüsselung der zweiten Runde muss der gleiche wie der interne Zustand für eine Verschlüsselung einer (n-1)-ten Runde sein. Das gleiche kann auf die folgenden Operationen angewendet werden. In einem Fall, bei dem die Intern-Zustandsaktualisierungsfunktion eine Richtungsabhängigkeit aufweist, kann der interne Zustand nicht in einer umgekehrten Reihenfolge erzeugt werden, und die internen Zustände für n Runden können nicht im Voraus erfasst werden. Deshalb wird ein Mechanismus benötigt, bei dem die internen Zustände für n Runden erzeugt werden, um im voraus gespeichert und in umgekehrter Reihenfolge ausgegeben zu werden. Der vorübergehende Intern-Zustandsspeicherabschnitt 176 und der Reihenfolge-umkehrende-Abschnitt 191 werden in 22 als ein derartiger Mechanismus gezeigt.
  • 25 ist eine Ansicht, die die Struktur zeigt, bei der die Verschlüsselungsvorrichtung der Erfindung und die Entschlüsselungsvorrichtung kombiniert sind. Die Verschlüsselungsvorrichtung und die Entschlüsselungsvorrichtung weisen die gleiche Struktur mit Ausnahme der vorübergehenden Speicherung des internen Zustands auf. Die Ausgabe des Intern-Zustandsspeichermittels 182 oder die Ausgabe des Intern-Zustandsspeicherabschnitts 183 wird in die F-Funktion 184 abhängig von dem Zustand eines Schalters 181 eingegeben, dessen Stellung in Übereinstimmung mit einem Signal E/O 180 geändert wird, das eine Verschlüsselungsverarbeitung oder eine Entschlüsselungsverarbeitung zeigt. Wenn eine derartige Struktur verwendet wird, kann die Größe der Vorrichtung verringert werden.
  • 26 ist ein Zeitdiagramm einer Entschlüsselungsverarbeitung vom Pipeline-Typ, bei der keine Verzögerung erzeugt wird. Die Figur zeigt, dass die Zeit zusammen mit der Richtung des direkten Pfeils vorgerückt wird. Eine obere Stufe 185 zeigt einen Zustand des Aktualisierens des internen Zustands, und ein Slash-Abschnitt 187 zeigt eine Aktualisierungsverarbeitung des internen Zustands. Eine untere Stufe 186 zeigt einen Zustand der Entschlüsselungsverarbeitung, und ein Mesh-Abschnitt 188 zeigt die Entschlüsselungsverarbeitung. Außerdem zeigt ein Pfeil 189 eine Übereinstimmung zwischen der Aktualisierung des internen Zustands und der Entschlüsselungsverarbeitung. Beispielsweise wird der bei der Aktualisierungsverarbeitung 187 aktualisierte interne Zustand bei der durch den Pfeil 189 gezeigten Entschlüsselungsverarbeitung 190 verwendet.
  • In 26 wird mit Blick auf den Ablauf der Zeitreihenverarbeitung die Aktualisierungsverarbeitung 187 des internen Zustands, der bei der nächsten Entschlüsselungsverarbeitung 190 verwendet wird, zur gleichen Zeit wie die Entschlüsselungsverarbeitung 188 ausgeführt. Dadurch kann die Verzögerung der Entschlüsselungsverarbeitung, die durch die Aktualisierungsverarbeitung des internen Zustands verursacht wird, verhindert werden.
  • Gemäß der Erfindung kann sogar in einem Fall, bei dem die Vorrichtung durch den Umwandlungsabschnitt strukturiert ist, der unter Berücksichtigung der Verarbeitungsgeschwindigkeit eine kleine Anzahl von Stufen aufweist, die Sicherheit des Chiffretextes verbessert werden.

Claims (16)

  1. Verschlüsselungsvorrichtung mit einer Mehrzahl Stufen von Umwandlungsabschnitten, wobei jeder Umwandlungsabschnitt (8) dadurch gekennzeichnet ist, daß er enthält: Speichermittel (2) zum Speichern eines internen Zustands; Intern-Zustandsauffrischungsmittel (3) zum Auffrischen des internen Zustands, der in dem Speichermittel (2) gespeichert ist; und Verschlüsselungsmittel (1) zum Ausführen einer Verschlüsselung bei Empfang von zu verschlüsselnden Daten, eines Verschlüsselungsschlüssels und des internen Zustands, der in dem Speichermittel (2) gespeichert ist, wobei der in dem Speichermittel (2) gespeicherte interne Zustand durch das Intern-Zustandsauffrischungsmittel (3) jedesmal aufgefrischt wird, wenn die Verschlüsselung durch das Verschlüsselungsmittel (1) ausgeführt wird.
  2. Verschlüsselungsvorrichtung mit einer Mehrzahl Stufen von Umwandlungsabschnitten, wobei jeder Umwandlungsabschnitt (8) dadurch gekennzeichnet ist, daß er enthält: Speichermittel (142) zum Speichern eines internen Zustands; Intern-Zustandsauffrischungsmittel (143) zum Auffrischen des internen Zustands, der in dem Speichermittel (142) gespeichert ist; Verschlüsselungsmittel (126) zum Ausführen einer Verschlüsselung bei Empfang von zu verschlüsselnden Daten, eines Verschlüsselungsschlüssels und des internen Zustands, der in dem Speichermittel (142) gespeichert ist; und Ausgabesteuermittel (131, 132) zum Steuern einer Ausgabe des Verschlüsselungsmittels (126) in Übereinstimmung mit dem internen Zustand, der in dem Speichermittel (142) gespeichert ist, wobei der in dem Speichermittel (142) gespeicherte interne Zustand durch das Intern-Zustandsauffrischungsmittel (143) jedesmal aufgefrischt wird, wenn die Verschlüsselung durch das Verschlüsselungsmittel (126) ausgeführt wird.
  3. Vorrichtung nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß das Intern-Zustandsauffrischungsmittel (143) eine Funktion als Ein-Direktionale-Funktion aufweist.
  4. Vorrichtung nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß sie des weiteren aufweist: einen Eingabeabschnitt, um den internen Zustand zu bezeichnen, der zu initialisieren ist.
  5. Vorrichtung nach Anspruch 4, dadurch gekennzeichnet, daß sie des weiteren aufweist: ein Initialisierungsmittel (31) zum Initialisieren des internen Zustands jedesmal, wenn die Verschlüsselung durch das Verschlüsselungsmittel ausgeführt wird.
  6. Vorrichtung nach Anspruch 4, dadurch gekennzeichnet, daß sie des weiteren aufweist: ein Initialisierungsmittel (65) zum Initialisieren des internen Zustands nur einmal, bevor die Übertragung eines Cipher-Textes, der von der Verschlüsselungsvorrichtung erhalten wird, zwischen einem Transmitter und einem Receiver ausgeführt wird.
  7. Vorrichtung nach Anspruch 4, dadurch gekennzeichnet, daß sie des weiteren aufweist: ein Initialisierungsmittel (200, 202) zum Initialisieren des internen Zustands mit einer vorgegebenen Zeitsteuerung, die im voraus vorgenommen wird, zwischen einem Transmitter und einem Receiver, wenn eine Übertragung eines Cipher-Textes, der durch eine Verschlüsselungsverarbeitung erhalten wird, zwischen dem Transmitter und dem Receiver ausgeführt wird.
  8. Vorrichtung nach einem der Ansprüche 1 bis 3, da durch gekennzeichnet, daß die zu verschlüsselnden Daten Daten enthalten, um die Zeitsteuerung zum Initialisieren des internen Zustands zu bezeichnen.
  9. Vorrichtung nach einem der Ansprüche 1 oder 2, dadurch gekennzeichnet, daß das Verschlüsselungsmittel (1) einen Expansiv-Permutationsabschnitt (118) zum expansiven Permutieren von zu verschlüsselnden Daten, einen Berechnungsabschnitt (120) zum Ausführen einer vorgegebenen Berechnung zwischen einer Ausgabe des Expansiv-Permutationsabschnitts (118) und einem Verschlüsselungsschlüssel und einen Ersetzungsabschnitt (121) zum Trennen einer Ausgabe von dem Berechnungsabschnitt (120) in eine Mehrzahl von Gruppen enthält, um eine vorgegebene Substitution für jede Gruppe durchzuführen.
  10. Vorrichtung nach Anspruch 9, dadurch gekennzeichnet, daß sie des weiteren enthält: Mittel (146) zum Eingeben eines auffrischbaren internen Zustands in den Expansiv-Permutationsabschnitt (144), um so eine Ausgabe von dem Expansiv-Permutationsabschnitt (144) zu steuern.
  11. Vorrichtung nach Anspruch 9, dadurch gekennzeichnet, daß sie des weiteren aufweist: einen Bit-Positionsänderungsabschnitt (143) zum Verschieben einer Bit-Position einer Ausgabe von dem Berechnungsabschnitt (151), wobei der auffrischbare interne Zustand in den Bit-Positionsänderungsabschnitt (153) eingegeben wird, um so die Ausgabe des Bit-Positionsänderungsabschnitts (153) zu steuern.
  12. Vorrichtung nach Anspruch 9, dadurch gekennzeichnet, daß sie des weiteren aufweist: Mittel (159) zum Durchführen einer Exklusiv-Oder-Verknüpfung mit einem auffrischbaren internen Zustand, bevor die zu verschlüsselnden Daten expansiv durch den Expansiv-Permutationsabschnitt (158) permutiert werden.
  13. Vorrichtung nach Anspruch 9, dadurch gekennzeichnet, daß sie des weiteren enthält: Mittel (163) zum Eingeben eines auffrischbaren internen Zustands in den Berechnungsabschnitt (165), um so eine Ausgabe von dem Berechnungsabschnitt (165) zu steuern.
  14. Vorrichtung nach Anspruch 9, dadurch gekennzeichnet, daß sie des weiteren enthält: Mittel (167) zum Eingeben eines auffrischbaren internen Zustands in den Substitutionsabschnitt (166), um so eine Ausgabe von dem Substitutionsabschnitt (166) zu steuern.
  15. Verschlüsselungsverfahren mit einer Mehrzahl von Umwandlungsschritten, wobei jeder Umwandlungsschritt dadurch gekennzeichnet ist, daß er enthält: einen Speicherschritt zum Speichern eines internen Zustands; einen Intern-Zustandsauffrischungsschritt zum Auffrischen des internen Zustands, der in dem Speicherschritt gespeichert wurde; und einen Verschlüsselungsschritt zum Ausführen einer Verschlüsselung bei Empfang von zu verschlüsselnden Daten, eines Verschlüsselungsschlüssels und des internen Zustands, der in dem Speicherschritt gespeichert wurde; wobei der interne Zustand, der in dem Speicherschritt gespeichert wurde, durch den Intern-Zustandsauffrischungsschritt aufgefrischt wird, jedesmal wenn die Verschlüsselung durch den Verschlüsselungsschritt ausgeführt wird.
  16. Verschlüsselungsverfahren mit einer Mehrzahl von Umwandlungsschritten, wobei jeder Umwandlungsschritt dadurch gekennzeichnet ist, daß er enthält: einen Speicherschritt zum Speichern eines internen Zustands; einen Intern-Zustandsauffrischungsschritt zum Auffrischen des internen Zustands, der in dem Speicherschritt gespeichert wurde; ein Verschlüsselungsschritt zum Ausführen einer Verschlüsselung bei Empfang von zu verschlüsselnden Daten, eines Verschlüsselungsschlüssels und des internen Zustands, der in dem Speicherschritt gespeichert wurde; und einen Ausgabesteuerschritt zur Steuerung einer Ausgabe, die in dem Verschlüsselungsschritt in Übereinstimmung mit dem internen Zustand erhalten wurde, der in dem Speicherschritt gespeichert wurde, wobei der interne Zustand, der in dem Speicherschritt gespeichert wurde, durch den Intern-Zustandsauffrischungsschritt aufgefrischt wird, jedesmal wenn die Verschlüsselung durch den Verschlüsselungsschritt ausgeführt wird.
DE69629356T 1996-04-10 1996-04-10 Verfahren und Anordnung zur blockweisen Verschlüsselung mit jeder Verschlüsselungsrunde abhängig von einen internen Zustand Expired - Fee Related DE69629356T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP96302514A EP0801477B1 (de) 1996-04-09 1996-04-10 Verfahren und Anordnung zur blockweisen Verschlüsselung mit jeder Verschlüsselungsrunde abhängig von einen internen Zustand

Publications (2)

Publication Number Publication Date
DE69629356D1 DE69629356D1 (de) 2003-09-11
DE69629356T2 true DE69629356T2 (de) 2004-06-09

Family

ID=27741282

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69629356T Expired - Fee Related DE69629356T2 (de) 1996-04-10 1996-04-10 Verfahren und Anordnung zur blockweisen Verschlüsselung mit jeder Verschlüsselungsrunde abhängig von einen internen Zustand

Country Status (1)

Country Link
DE (1) DE69629356T2 (de)

Also Published As

Publication number Publication date
DE69629356D1 (de) 2003-09-11

Similar Documents

Publication Publication Date Title
DE69416684T2 (de) System und anordnung zum blockweisen verschlüsseln/entschlüsseln von daten
DE69031736T2 (de) Verschlüsselungsmethode
DE69931606T2 (de) Datenwandler und aufzeichnungsmedium zur aufnahme eines programms zur datenumwandlung
DE19827904C2 (de) Blockchiffrier- oder -dechiffrierverfahren und Blockchiffrier- oder -dechiffriervorrichtung
DE69222090T2 (de) Einrichtung und Verfahren zum blockweisen Verschlüsseln von Daten
DE69618040T2 (de) Verfahren zur Verschlüsselung/Entschlüsselung von Daten unter Verwendung von Cipher-Block-Chaining (CBC) und Message Authentication Code (MAC)
DE3688676T2 (de) Verschluesselungs-/entschluesselungssystem.
DE69330070T2 (de) Verfahren und einrichtung zur erzeugung einer chiffriersequenz
DE69433257T2 (de) Verfahren und Kommunikationssystem unter Verwendung einer Verschlüsselungseinrichtung
EP2462717B1 (de) Echtzeitfähige quantencomputersichere verschlüsselung von daten aller art
DE69728465T2 (de) Nichtparalleler Mehrzyklus-Verschlüsselungsapparat
DE69938539T2 (de) Kryptographische Einrichtung mit parallel geschalteten Verschlüsselungsblöcken
DE2231835C3 (de) Verfahren zur in mehreren Stufen erfolgenden Ver- und Entschlüsselung binärer Daten
DE2231849C3 (de) Verschlüsselungsverfahren zur Erhöhung der Entschlüsselungsfestigkeit von blockweise zu verschlüsselnden Binärdaten und Anordnung zur Durchführung des Verfahrens
DE2715631C2 (de) Verschlüsselung und Absicherung von Daten
DE69119844T2 (de) Chiffriergerät
DE69635651T2 (de) Vorrichtung und Verfahren zur Datenumwandlung
DE10129285C2 (de) Verschlüsselungsverfahren mit beliebig wählbaren Einmalschlüsseln
CH639229A5 (de) Verfahren zur verschluesselten nachrichtenuebertragung.
DE60221850T2 (de) Verfahren und vorrichtung zur datenverschlüsselung
DE2658065A1 (de) Maschinelles chiffrieren und dechiffrieren
DE102008010789B4 (de) Verfahren zur zugriffs- und kommunikationsbezogenen Zufallsver- und Entschlüsselung von Daten
DE10148415C2 (de) Verfahren und Vorrichtung zum Verschlüsseln und Entschlüsseln von Daten
DE69333257T2 (de) Anlage für Signalschaltung und -verarbeitung
DE69729297T2 (de) Verschlüsselungsvorrichtung für binärkodierte nachrichten

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee