TW200821999A - Encryption processing device, method for building encryption process algorithm, encryption processing method, and computer program - Google Patents

Description

200821999 九、發明說明： 【發明所屬之技術領域】 本卷明係關於畨碼處理裝置、密碼處理演算法構築方 法、及密碼處理方法與電腦程式。更詳細而言，係關於執 打Fe1Stel型共用鍵區塊密碼處理的密碼處理裝置、密碼處 理演算法構築方法、及密碼處理方法與電腦程式。 【先前技術】

最近，伴隨網路通信、電子商務交易之發展，確保通信 中之安全成為重要之問題。一種確保安全之方法係密碼技 術目别只際上正進行使用各種加密方法的通信。 、如在ic卡專小型裝置中埋入密碼處理模組，在π卡與作 為資料讀取寫入裝置之讀寫器之間進行資料傳送接收，來 進行認證處理或是傳送接收資料之加密、解㈣系統已經 實用化。 有各種密碼處理演算法，不過，大致上分類時，係分類 成··將加密鍵與解密鍵設定成不同之鍵，如設定為公開鍵 與機密鍵之公開鍵密碼方式；與設定加密鍵與解密鍵作為 共用鍵之共用鍵密碼方式。 共用鍵密碼方式中亦有各種演算法，其中—種係將共用 鍵作為基礎，產生數個鍵’使用所產生之數個鍵，重複執 行區塊單位（64位元，128位元等）之資料變換處理的方式。 此種鍵產生方式與適用f料變換處理之演算法的代表者， 係共用鍵區塊密碼方式。 如有作為美國標準 代表性之共用鍵區塊密碼的演算法 120295.doc 200821999 欲碼之DES(資料加密標準（ 平 I ata Encryption Standard))演算 法，且廣泛使用於各種領域。 DES為代表之共用艟p^ 品龙擒碼的演算法，主要可分成： 執行輸入資料之變換的^ 、的口（Round)函數部，及產生回函數 (F函數)部之各回適用之鍵的鍵調度(Schedule)部。回函數 部之各回適用之回鍵（副鍵）依據i個主鍵（Master鍵），輸入 •鍵調度部而產生，由各回函數部適用。 ( 執灯適用此種回函數之演算法的具體構造，熟知有 el構:^ Feistel構造具有藉由稱為回函數之變換函數 的單純重複’而將明文變換成密文之構造。記載適用 構造之密碼處理的讀，如㈣專敎獻丨、非專 利文獻2。 但疋，如適用Felstel構造之共用鍵密碼處理中，存在因 密碼分析而茂漏鍵之問題。密碼分析或攻擊方法之代表性 方法，熟知有藉由多次分析具有某個差分之輸入資料（明 c, 文）與其輸出資料（密文），來分析各回函數中之適用鍵的差 分2析（亦稱為差分解讀法或差分攻擊），及依據明文與對 應⑴文進行分析之線性分析（亦稱為、線十生解讀》去或線性攻 . 擊）。 ^ 精由密碼分析之鍵的分析容易，表示其密碼處理之安全 11低。先則之密碼演算法中，因為回函數（F函數）部之線 性變換部中適用的處理（變換行列），在各階之回中相等， 所以谷易進行分析，結果導致鍵之分析的容易性。

對付此種問題之結構，提出了在Feistel構造之回函數（F 120295.doc 200821999 函數）部之線性變換部中配置2個以上不同之行列的結構。 該技術稱為擴散行列切換機構（DSM :擴散切換機構 (Diffusion Switching Mechanism，以下稱 DSM)。藉由該 DSM可使對差分攻擊及線性攻擊之抵抗性提高。 該擴散行列切換機構（DSM)顯示有對具有通常之2個資 料系列的Feistel構造之適用結構。另外，與此種具有一般 之2個資料系列的Feistel構造不同，還有具有3個以上資料 系列之擴充型的Feistel構造。但是，此種具有3個以上資 料系列之擴充型的Feistel構造中，並未揭示適用上述擴散 行列切換機構（DSM)，而使對差分攻擊及線性攻擊之抵抗 性提高的結構。 [非專利文獻 1] K· Nyberg，’’Generalized Feistel networks’’， ASIACRYPT* 96，SpringerVerlag，1996，ρρ· 91-104 〇 [非專利文獻 2] Yuliang Zheng，Tsutomu Matsumoto, Hideki Imai: On the Construction of Block Ciphers Provably Secure and Not Relying on Any Unproved Hypotheses. CRYPTO 1989: 461-480 o 【發明内容】 [發明所欲解決之問題] 本發明係有鑑於上述問題而形成者，其目的為提供一種 實現對線性分析及差分分析抵抗性高之共用鍵區塊密碼演 算法之密碼處理裝置、密碼處理演算法構築方法、及密碼 處理方法與電腦程式。 更具體而言，目的為提供一種在擴充具有2個資料系列 120295.doc 200821999 之Feistel構造的Feistel構造’亦即’如具有3個、4個等2個 以上任意之資料系列的擴充型Feistel構造中，設定適用數 個不同之線性變換行列的回函數部，來實現對線性分析及 差分分析抵抗性高之共用鍵區塊密碼演算法之密碼處理裝 置、密碼處理演算法構築方法、及密碼處理方法與電腦程 式。 [解決問題之技術手段]

本發明苐一方面之逸、碼處理裝置之特徵為：包含密碼處 理部，其係執行Feistel型共用鍵區塊密碼處理，該處理係 將執行包含非線性變換處理及線性變換處理之資料變換處 理的SP型F函數重複複數回， 前述密碼處理部包含執行適用資料系列數：0為d ^ 2之 整數的擴充Feistel構造之密碼處理的結構，且係在各回之 F函數中執行的線性變換處理中，選擇性適用至少2個以上 之數個不同行列的結構， 前述2個以上之數個不同行列，係滿^自依據輸入擴充 ^構造之各資料系列的F函數中包含之線性變換行列 的資料系列對應之最小分歧數中選擇的全部f料系列中最 小分歧數為預定值以上之條件的數個不同行列， 且包含將前述數個不同行列重複配置於輸人擴充阳制 構造之各資料系列的F函數之結構。 再：、，：發明之密碼處理裝置的一種實施形態之特徵 為·月ϋ述松媽處理部中刹用 ^ ^ ^ ^ τ利用之則述數個不同行列，係滿足 自依據輸入擴充Feistel構造之各資料系列S⑴的連續k個(其 120295.doc 200821999 中k為2以上之整數）F函數中包含之線性變換行列而算出 的資料系列對應之最小分歧數[BkD(s(i))]中選擇的全部資 料系列中最小分歧數[ΒΛ為3以上之條件的數個不同行 列。 、再者，本發明之密碼處理裝置的一種實施形態之特徵 為：前述密碼處理部中利用之前述數個不同行列，係滿足 自依據輸入擴充Feistel構造之各資料系列s(i)的連續2個1? 函數中包含之線性變換行列而算出的資料系列對應之最小 分歧數旧严卜⑴)]中選擇的全部資料系列中最小分歧數 [B/]為3以上之條件的數個不同行列。 再者，本發明之密碼處理裝置的一種實施形態之特徵 為：前述密碼處理部中利用之前述數個不同行列，係滿足 自依據輸入擴充Feistel構造之各資料系列s(i)的連續2個1? 函數中包含之線性變換行列而算出的資料系列對應之最小 分歧數中選擇的全部資料系列中最小分歧數 [B2L]為3以上之條件的數個不同行列。 再者，本發明之密碼處理裝置的一種實施形態之特徵 為：前述密碼處理部於前述數個不同行列作為^個（其中， η為2以上之整數）不同之行列μ〇、Μ!、· · Μη」時，包含將 此等不同之行列MG、Ml、..Mq依序重複配置於輸入擴充 Feistel構造之各資料系列的F函數之結構。 再者’本發明之密碼處理裝置的一種實施形態之特徵 為：前述密碼處理部係執行適用在丨回中僅執行丨個^函數 之擴充Feistel構造的密碼處理之結構。 120295.doc 200821999 再：、、本發明之密碼處理裝置的一種實施形態之特徵 :、·别述密碼處理部係執行適用在㈤中並列執行數㈣函 之擴充Feistel構造的密碼處理之結構。 再者’本發明之密碼處理裝置的—種實施形態之特徵 ·· 為/前述密碼處理部在❿之任意整數，之任意整數 日、’係執行適用資㈣列數：άϋ充Feistel構造的 " 冑碼處理之結構，前述擴充Feistel構造係利用執行前述數 / · ’不同订列之不同線性變換處理的a種類之F函數， 且係在1回中，均等地每χ個執行全種類&種類）之F函數 的結構。 、再=纟發明之密碼處理震置的一種實施开》態之特徵 為1述密碼4理部之結構具# ·· F函數執行冑，其係執 I在1回中並列執行之^個1?函數；及控制部，其係執行對 别述F函數執行部之資料輸入輸出控制。 、 本發明之岔碼處理裝置的一種實施形態之特徵 ϋ 為刖述密碼處理部之結構具備：數個f函數執行部，其 2執仃則述數個不同行列之不同的線性變換處理；及控制 /、係按照設定變更前述數個F函數執行部之利用順 - 序，則述控制部選擇性執行下述（a)、（bl)、（b2)之任何一 個密碼處理： ()藉由 > 料系列數d=2之Feistel構造的密碼處理，或 (bl)為資料系列數d- 2之任意數的擴充Feistel構造，且 各回中僅容許執行1個F函數之密碼處理，或 (b2)為資料系列數2之任意數的擴充Feistel構造，且 !2〇295.ά〇〇 200821999 各回中容許並列執行數個F函數之密碼處理。 再者，本發明之密碼處理裝置的一種實施形態之特徵 為：前述控制部之結構為按照加密或解密處理對象之資料 的位元長，來選擇執行之處理形態。 再者，本發明第二方面之密碼處理方法之特徵為：係在 密碼處理裝置中執行密碼處理， ' 且密碼處理部中包含密碼處理步驟，其係執行將執行包 广 含非線性變換處理及線性變換處理之資料變換處理的讣型 ^ F函數重複複數回之histel型共用鍵區塊密碼處理， 前述密碼處理步驟包含演算步驟，其係執行適用資料系 歹J數· d為d-2之整數的擴充Feistei構造之密碼處理的步 驟，且係在各回之F函數中執行的線性變換處理中，執行 選擇性適用至少2個以上之數個不同行列的演算， 前述演算步驟中適用之數個不同行列，係滿足自依據輸 入擴充阳㈣構造之各資料系列的F函數中包含之線性變 u 的資料系列對應之最小分歧數中選擇的全部資料系 列巾最小分歧數為預定值以±之條件的數個不同行列， ^前述演算步驟係在輸人擴充Feistel構造之各資料系列 ❹函數中，執行依據前述數個不同行列之線性變換演算 的步驟。 # 再者本發明之被碼處理方法的一種實施形態之特徵 為：前述數個不同行列，係滿足自依據輸入擴充Feist_ 2之各資料系列S⑴的連續其中，鸲2以上之整數㈣ 中I 3之線性^:換仃列而算出的資料系列對應之最小分 120295.doc 200821999 歧數[BkD(s(i))]中選擇的全部f料系列中最小分歧數队D] 為3以上之條件的數個不同行列。 再者，本發明之密碼處理方法的一種實施形態之特徵 ^ :前述數個*同行列，係滿足自依據輸入擴充Feistel構 造之各資料系列s(i)的連續2個？函數中包含之線性變換行 列而出的貝料系列對應之最小分歧數尸(S⑴)]中選擇 的全部資料系列中最小分歧數[B2D]為3以上之條件的數個 不同行列。 、再者本發明之密碼處理方法的一種實施形態之特徵 2 :前述數個不同行列，係滿足自依據輸入擴充Feistel構 造之各資料系列s(i)的連續2個17函數中包含之線性變換行 列而算出的貝料系列對應之最小分歧數队L(s(i川中選擇 的全部資料系列中最小分歧數[咕為3以上之條件的數個 不同行列。 、再者本發明之密碼處理方法的一種實施形態之特徵 為：將前述數個不同行列作為11個（其中，11為2以上之整數） 不同之行列M〇、、. · Mw時，前述演算步驟係在輸入擴 充阳办1構造之各資料系列的F函數中，依序重複執行此 等不同之行列M〇、Ml、··]^_1的步驟。 再者本發明之密碼處理方法的一種實施形態之特徵 為：前述密碼處理步驟係執行適用在丨回中僅執行丨個？函 數之擴充Feistel構造的密碼處理之步驟。

、再者、本發明之密碼處理方法的一種實施形態之特徵 為別述也碼處理步驟係執行適用在1回中並列執行數個F 120295.doc -12- 200821999 函數之擴充Feistel構造的密碼處理之步驟。 再者’本發明之密碼處理方法的一種實施形態之特徵 為：前述密碼處理步驟在ag2之任意整數，之任意整 數時’係執行適用資料系歹,m : d=2ax之擴充Feiste丨：： 的密碼處理之步驟，前述擴充Feistel構造係利用執行前= 數個不同行列之不同線性變換處理的a種類之F函數，' 且在1回中，均等地每x個執行全種類（a種類）2F函數。 再者本發明之密碼處理方法的一種實施形態之特徵 為：前述密碼處理步驟係適用執行在丨回中並列地執行^ ax個F函數的F函數執行部，並按照對前述f函數執行部執 行資料輸人輸出控制之控制部的控制，來執行密碼處 步驟。 、再者本發明之密碼處理方法的一種實施形態之特徵 為i前述密碼處理步驟藉由：數個？函數執行部，其係執 仃别述數個不同行列之不同的線性變換處理；及控制部， 其按照設定變更前述數俯函數執行部之利用順序丨執 行密碼處理，並藉由前述控制部之控制，選擇性執行下述 (a)、（bl)、（b2)之任何一個密碼處理： U)藉由資料系列數扣2iFeistel構造的密碼處理，或 (bl)為資料系列數d-2之任意數的擴充Feistei構造，且 各回中僅容許執行1個F函數之密碼處理，或 (b2)為資料系列數d^2之任意數的擴充卜⑷㊁丨構造，且 各回中容許並列執行數個F函數之密碼處理。 再者，本發明之密碼處理方法的一種實施形態之特徵 120295.doc -13- 200821999 為·刖述控制部按照加密或解密處理對象之資料的位元 長’來選擇執行之處理形態。 再者，本發明第三方面之密碼處理演算法構築方法的特 徵為：係在資訊處理裝置中構築密碼處理演算法，且包 含： 、，行列决疋步驟，其係資訊處理裝置中之控制部在適用資 料系列數· d為d- 2之整數的擴充1?6以61構造之密碼處理 T法的、、、σ構中，決定適用於在各回之F函數中執行的線 性變換處理之至少2個以上之數個不同行列；及 一】X疋乂驟，其係則述控制部將前述行列決定步驟中 決定之數個不同行列，重複配置於輸入擴充Feistel構造之 各資料系列的F函數中； 别述仃列決定步驟，係執行決定將前述2個以上之數個 同行列係滿足自依據輸入擴充Feistel構造之各資料系 歹J的F函數中包含之線性變換行列的資料系列對應之最小 分歧數中選擇的全部資料系列中最小分歧數為預定值以上 之條件的數個不同行列’作為適用行狀處理的步驟。 再者’本發明第四方面之電腦程式之特徵為：係使密碼 處理裝置執行密碼處理， 且L s氆碼處理步驟，其係使密碼處理部執行卜以㊁丨型 共1鍵區塊密碼處理，該處理係重複複數回執行包含非線 f生變換處理及線性變換處理之資料變換處理的π型F 數， 前述密碼處理步驟包含演算步驟，其係執行適用資料系 120295.doc -14- 200821999 列數·· d為dg2之整數的擴充Feistel構造之密碼處理的步 驟，且係在各回之F函數中執行的線性變換處理中，執行 選擇性適用至少2個以上之數個不同行列的演算， 前述演算步驟中適用之數個不同行列，係滿足自依據輪 入擴充FeiStel構造之各資料系列的F函數中包含之線心 換行列的資料系列對應之最小分歧數中選擇的全部資料系 • 列中最小分歧數為預定值以上之條件的數個不同行列，” ( i前述演算步驟係在冑入擴充Feistel構造之各資料系列 的F函數中，執行依據前述數個不同行列之線性變換演算 的步驟。 、、 再者，本發明第五方面之電腦程式之特徵為··係使資訊 處理虞置構染密碼處理演算法，且包含： 次订列決定步驟，其係使資訊處理裝置中之控制部在適用 =^列數· d為2之整數的擴充阳办靖造之密碼處 理演算法的結構中，決定適用於在各回之F函數中執行的 C；、線性變換處理之至少2個以上之數個不同行列；及 _ 仃列°又疋步驟，其係使前述控制部將前述行列決定步驟 巾決定之數個不同行列’重複配置於輸人擴充Feistel構造 •之各資料系列的F函數中； 則述仃列決定步驟’係執行決定將前述2個以上之數個 5 /亍歹彳係滿足自依據輸入擴充Feistel構造之各資料系 八J的F函數中包含之線性變換行列的資料系列對應之最小 刀歧數中選擇的全部資料系列中最小分歧數為預定值以上 之條件的數個不同行列，作為適用行列之處理的步驟。 120295.doc -15- 200821999 另外，本發明之電腦程式如係對可執行各種程式代碼之 電腦系統，可藉由以電腦可讀取之形式而提供之記憶媒 體、通信媒體，如CD、FD或MO等記錄媒體，或是網路等 之通佗媒體而提供之電腦程式。藉由以電腦可讀取之形式 提供此種程式，而在電腦系統上實現按照程式之處理。 本發明之另外目的、特徵及優點，藉由後述之依據本發 明的實施例及附加圖式之更詳細說明應可明瞭。另外，本 說明書中所謂系統，係數個裝置之邏輯性集合結構，不限 疋於各構成之裝置在同一個框體内者。 [發明之效果] 採用本發明一種實施例之結構時，在重複複數回包含非 線性變換部及線性變換部之SPN型之F函數而執行的 型共用鍵區塊密碼處理中，在擴充具有2個資料系列之 Feistel構造的Feistel構造，亦即如具有3個、4個等2個以上 任思貝料系列之擴充型的Feistel構造中，藉由設定適用數 個不同線性變換行列之回函數部，來實現擴散行列切換機 構（DSM) ’可執行對線性分析及差分分析抵抗性高之共用 鍵區塊密碼演算法的構築及密碼處理。 採用、本毛明種實施例之結構時，在執行適用資料系列 數· d為d-2之整數的擴充Feistel構造之密碼處理之結構 中，包含在各回之!^函數中執行之線性變換處理中，選擇 性適用至少2個以上之數個不同行列的結構，藉由設定之個 以上之數個不同行列，係滿足自依據輸入擴充Feiste丨構造 之各資料系列的F函數中包含之線性變換行列的資料系列 120295.doc -16- 200821999 對應之最小分歧數中選擇的全部資料系列中最小分歧數為 預定值以上之條件的數個不同行列，來實現擴散行列切換 機構（DSM)，可執行對線性分析及差分分析抵抗性高之共 用鍵區塊密碼演算法的構築及密碼處理。 再者，採用本發明一種實施例之結構時，在執行適用資 料系列數· d-2ax之擴充Feistei構造（χ$丨）的密碼處理之結 構中，前述擴充Feistel構造係利用執行數個不同行列之不 同線性變換處理的a(a^2)種類之F函數，由於係Si回中， 均等地每X個執行全種類（a種類）iF函數的結構，因此，實 現並無設置無用電路之小型的密碼處理裴置。 再者，採用本發明一種實施例之結構時，藉由構成執行 數個不同行列之不同線性變換處理的數個F函數執行部， 作為按照設定而變更數個F函數執行部之制順序的姓 ，’來實現可選擇性執行下述⑷、（bl)、（b2)之任何一: 密碼處理的密碼處理裝置： (a)藉由資料系列數卜2之FeisteU.造的密碼處理，或 (bl)為貝料系列數2之任意數的擴充Feistel構造，且 各回中僅各許執行1個F函數之密碼處理，或 (b2)為資料系列數d^2之任意數的擴充Feistel構造，且 各回中容許並列執行數個F函數之密碼處理。 【實施方式】 以下詳細說明本發明之密碼處理裝置及密碼處理方法與 電腦程式。並按照以下之項目進行說明。 I具有SP型F函數之Feistel構造 120295.doc •17- 200821999 2·分歧數演算函數與抵抗性評估函數 2-1·分歧數演算函數·· Branch() 2-2·對差分攻擊之抵抗性評估指標 2-3·對線性攻擊之抵抗性評估指標 3·對具有2個資料系列之Feistel構造的Dsm之設定法 4_擴充Feistel構造中之DSM的設定 4-1·擴充Feistel構造 4-2·擴充Feistel構造中，提高龍分攻擊之抵抗性用的 結構 4-2-1.最小分歧數之值為3以上的？函數中之行列選 擇結構 4-2-2•最小分歧數BkD之值為3以上的ρ函數中之行列選 擇結構 4-3·擴充Feistel構造中，提高對線性攻擊之抵抗性用的 結構 4- 3-1·最小分歧數之值為3以上的f函數中之行列選 擇結構 5·對具有特定形狀之擴充Feistel構造的DSM之利用於 構

5- 1·對擴充Feistel構造之類型1適用DSM

5- 2.對擴充Feistel構造之類型2適用DSM 6·擴充Feistel構造各類型之主動S-box數，與依據1?函數 中之線性變換行列之最小分歧數的關係式之證明 6- 1·擴充Feistel構造類型1之主動S-box數，與依據p函 120295.doc -18 - 200821999 數中之線性變換行列之最小分歧數的關係式之證明 6- 2.擴充Feist_造類型2之主動s如晴，與依㈣函 數中之線性變換行列之最小分歧數的關係式之證明 7.依據F函數之設定及利用處理之設法的安裝甲的改良 結構 7- 1·擴充Feistel之類型2的有效之F函數配置方法 7-2. Felstel構造與擴充Feistey.造中之零件的共用化 8·本發明之密碼處理及密碼演算法構築處理之總結 9·密碼處理裝置之結構例 [1·具有SP型F函數之Feistel構造] 首先’說明具有SP型F函數之Feistel構造。共用鍵區塊 密碼之設計，熟知有Feistel構造。Feistel構造係具有藉由 稱為回函數之基本處理單位的重複，將明文變換成密文之 構造。 參照圖1說明Feistel構造之基本結構。圖i中顯示具有2 個資料系列之Feistel構造之例，該2個資料系列具有『回之 回數=r。另外，回數r係在設計階段決定之參數，如係可 按照輸入之鍵的長度而變更之值。 圖1所示之Feiste丨構造中，作為加密對象而輸入之明文 的長度為2 mn位元。其中m、n均為整數。首先，將2 mn 位元之明文分割成mn位元之2個輸入資料pL(piain_ Left)101、PR(Plain-Right)l〇2，並將其作為輸入值。

Feistel構造係稱為回函數之基本處理單位的重複來表 現，各回中包含之資料變換函數稱為F函數丨2〇。圖丨之結 120295.doc -19- 200821999 構係顯示r階重複F函數（回函數）120之結構例。

ϋ 如第1回係將mn位元之輸入資料X與自鍵產生部（圖上未 顯不）輸入之πιη位元的回鍵Κι103輸入F函數120，於F函數 120中資料變換處理後，輸出mn位元之資料γ。輸出係將 來自另一方之前階的輸入資料（第1階之情況係輸入資料 PL)，與互斥或部104中進行互斥或演算，獲得imn位元的 演算結果輸出至其次之回函數。該處理亦即決定F函數之 回數（r)程度重複適用而加密處理完成，而輸出密文之分割 資料 CL(Cipher-Left)、CR(CiPher_Right)。比以上之結構， Feistel構造之解密處理導致只須將***回鍵之順序顛倒即 可，而無須構成反函數。 參照圖2說明作為各回之函數而設定之F函數丨2 〇的結 構。圖2(a)係顯示對！回中之F函數12〇的輸入及輸出圖，圖 2(b)係顯示F函數120之詳細結構圖。如圖吻所示，f函數 i20包含連接非線性變換層㈣）與線性變換層（p層）之所謂 SP型的結構。 圖2所示之F函數120在a 士& . 係具有輸入輸出位元長設定為mx n(m、η :整數）位元之函數。 ^ 隹…型1^數内部，首先執行 鍵資料Ki與資料乂丨之互斤武，

戈 〃 _人，適用非線性變換層（S 層），繼續適用線性變換層（p層）。 八體而σ非線性變換層（8層）係稱為$盒（^。叫^之打 位元輸入η位元輪出之非線性變換表排列m個者，各位元η 分割mn位元之資料，私χ八 卜 、 别刀別對應之S盒（S-box)121來變 換貧料。各S盒如執行適 ⑺I換表之非線性變換處理。 120295.doc -20-

函數] 分歧數演算函數與抵 200821999 線性變換層（P層）藉由線性變換部122構成，線性變換# 122輸入來自S盒121之輸出資料的mn位元之輪出值z， 對該輸入實施線性變換，而輸出mn位元之結果。線性變換 部122執行輸入位元位置之替換處理等的線性變換處理， 並輸出mn位元之輸出值γ。將該輸出值γ與來自前階之輪 入資料予以互斥或，作為其次回之F函數的輸入值。 ] 另外，以下說明之本實施例的結構係定義為：在作為線 性變換層（P層）之線性變換部丨22中執行的線性變換，係滴 用在GF(2)上定義imnxmn之行列而進行的線性變換，此 外，將第i回中包含之行列稱為Mi。另外，本發明中說明 之結構中作為非線性變換部的S盒與線性變換均係雙向單 射（Bijection)。 [2 ·分歧數演算函數與抵抗性評估 其久’就為了理解本發明而必要之 抗性評估函數作說明。 (2·1·分歧數演算函數··BranchO) 將作為上述F函數内之線性變換層㈣)的線性變換部 122中執行之線性變換之例的最佳擴散變換(Optimal

Diff^on Mappings)之分歧數演算函數：b⑽洲定義如 下0 對於進行自nXa位元資料至 像， nXb位元資料之線性變換的寫 Θ : {0，1 }na— {〇，”心 將分歧數：Branchn(e)定義如下。 120295.doc -21 - 200821999

Branchn(0)-mina?i〇 {hwn(a)+hwn(0 (α))} 其中，mina9i〇{Xa}表示滿足a?t〇之全部中的最小值， hwn(Y)係將位元行'¥各11位元區分表示時，返回n位元之資 料均並非0(非零）之要素數量的函數。 貝 另外’此時’係將Branchn(e)為b+1之寫像θ定義為 擴散變換。 & …·一” ，口 1日你j

適用Femel構造之共用鍵密碼處理中，有密碼分析造 鍵茂漏的問題。密碼分析或攻擊方法之代表性方法，熟去 有：藉由多次分析具有某個差分⑽)之輸入資料（明文= 其輸出資料（密文），來分析各回函數中之適用鍵的:二 析(亦稱為差分解讀法或差分攻擊”及依據明文與對應二 文進仃分析之線性分析（亦稱為線性解讀法或線性攻 之=謀求對差分攻擊之抵抗性的㈣，可適用表現差分 數。Μ係的差分路徑中包含之差分主動s_b〇x的最小 料係對除了加密函數中之鍵資料的全部資 者鐵曰疋特又之差分值者。差分值並非自由地決定 :係=理::之差分值彼此關連。線性變換處 變二出一 係，而係導入概率之概念。對;出差分之關 概率可於事# 某個輸人差分與輸出差分之 1〇 十异。全部合計對全部之輸出的概率時為 I20295.doc -22- 200821999 具有SP型之F函數的Feistel構造中，非線性變換僅係藉 由S-box處理之部分。因此，此時所謂具有〇以外之概率的 差分路徑，係自對明文（輸入）之差分值開始至密文（輸出） 之差分值的差分資料之集合，在全部之s—b〇x前後賦予之 差分值，係具有0以外之概率者。將輸入具有〇以外之概率 的差分路徑之S-box的差分值並非〇者，稱為差分主動s_ box。將具有〇以外概率的全部差分路徑之主動s_b〇x數中 最小數，稱為最小差分主動、^^乂數，熟知該數值係作為 對差分攻擊的安全性指標。另外，全部之差分值係〇之差 分路徑，由於其概率為丨，攻擊並無意義，因此，以後不 作考慮。 本發明之一種實施例中，具有藉由增大保證該最小差分 主動S-box數，以提高對差分攻擊之安全性的結構。 (2-3.對線性攻擊之抵抗性評估指標） 再者，謀求對線性攻擊之抵抗性的指標，可適用表現線 性遮罩（Mask)之連接關係的線性路徑（多稱為線性近似， 不過，為了使其與差分對應，在此處使用路徑之語詞）中 包含之線性主動S-box的最小數。 所謂線性路徑，係對除了加密函數中之鍵資料的全部資 料部分，指定特定之線性遮罩值者。線性遮罩值並非自由 地決定者，變換處理前後之線性值彼此關連。線性變換處 理之前後，係一對一地決定輸入線性遮罩值與輸出線性遮 罩值之關係。非線性變換之前後，並非一對一地決定輸入 線性遮罩值與輸出線性遮罩值之關係，而係導入概率之概 120295.doc -23- 200821999 出之一個以上的線性遮罩 之概率。全部合計對全部 心。對輸入線性遮罩值存在可輸 值之集合，可事前計算各個輸出 之輸出的概率時為1。 ;、有㈣⑽數❹咖構造中，非線性變換僅係藉 t 〇X處理之部分。因此，此時所謂具有㈣外之概率的 性路徑，係自對明文（輸入）之線性值開始至密文（輸出） 之線性值的線性遮罩值資料之集合，在全部之s_b〇x前後 賦予之線性值，係具有〇以外之概率者。將輸入具有〇以外 之概率的線性路徑之s-b❶x的差分值並非0者，稱為線性主 動S-box。將具有〇以外概率的全部線性路徑之主動 數中最小數’稱為最小線性主動s_b〇—，熟知該數值係 作為對線性攻擊的安全性指標。另外，全部之線性遮罩值 係〇之線性路徑，由於其概率為】，攻擊並無意義，因此， 以後不作考慮。 本發明之一種實施例中，藉由增大保證該最小線性主動 S_box數，以提高對線性攻擊之安全性。 [3·對具有2個資料系列之Feistel構造的DSM之設定法] 如之岫的說明，在適用Feistel構造之密碼處理中，上述 提鬲對差分攻擊及線性攻擊之抵抗性的結構，提出有適用 擴散行列切換機構（DSM : Diffusi〇n Switching Mechanism， 以下稱DSM)之結構。DSM係在Feistel構造之回函數（F函 數）部的線性變換部中配置2個以上不同行列之結構。藉由 該DSM可增大保證最小線性主動8_13〇乂數，可使對差分攻 擊及線性攻擊之抵抗性提高。 120295.doc -24- 200821999 就該DSM說明其概要。在Feistel構造中，適用擴散行列 切換機構（DSM)時，在構成Feistel構造之回函數（F函數）部 的線性變換部（P層）中適用之行列成為數個不同之行列。 如圖1所示之r回之Feistel構造的各回中的適用行列，並非 設定全部相同之線性變換行列，而係至少2種以上之行列 係按照特定之規則來排列。 如圖3顯示藉由2個線性變換行列Mq、Μι，來實現擴散 行列切換機構（DSM)的Feistel構造例，圖4顯示藉由3個線 性變換行列MG、Ml、M2，來實現擴散行列切換機構 (DSM)的 Feistel構造例。 圖3所示之Feistel構造例中，2個線性變換行列M〇、⑷藉 由不同之行列構成。此外，圖4所示之Feistel構造例中，3 個線性變換行列]^^、Μι、Μ:藉由不同之行列構成。 為了實現擴散行列切換機構（DSM)，適用之行列需要滿 足特定之條件。其中丨個條件係關於上述分歧數 約束。以下，就該約束作說明。 適用於Feistel構造中之回函數部的線性變換之數個不同 行列M〇〜Mn的各個分歧數中， 將適用行列中之分歧數的最小值：，與 對應於適用之數個行列的結合行列之分歧數的最小值： B2，B3D，B2L定義如下。 [數1] = ^{Branch^Mj) B2 120295.doc -25· 200821999 = mmiBranch^M, | Mi+11 Mi+A])) 街=m丨 二U)) 上述式中，

Mi表示適用於Feistel構造中之第丨回之線性變換處理的線 性變換行列， [Mi|Mi+2| · ·]表示藉由Mi|Mi+2| · ·各行列之連結而獲得之 結合行列， 表示行列Μ之轉值行列，Μ-ι表示行列M之反行列。 上述式中’ · B2，B3，B2具體而言，表示結合j7eistel 構造中跳越1個而連續之2回或3回之F函數中包含的行列之 行列的分歧數最小值。 如上述各分歧數為以下之條件，亦即， B2D- 3、B3D- 3、B2Lg 3， 瞭解藉由以滿足上述條件之方式設定各行列，在Feistd 構造中，可使對差分攻擊及線性攻擊之抵抗性提高。 另外，B/、B^、B^、bJ中之各尾標係具有以下意義 者。

BnD之η表示結合之行列數，BnD之D表示具有對差分攻擊 (Differential Attack)之抵抗性用的條件，；6/之1^表示具有 對線性攻擊（Linear Attack)之抵抗性用的條件。 [4.擴充Feistel構造中之DSM的設定] 本發明並非對具有2個資料系列之Feistei構造，而係提 出對具有如3個系列或4個系列等2個以上之任意資料系列 的Feistel構造，實現擴散行列切換機構（DSM)之結構。以 120295.doc -26- 200821999 下就該結構詳細作說明。 本發明中處理者，在使用SP型之^數部分，與上述之 具有2個資料系列之Feistel構造相同，不過，係將資料系 J數之刀』數予以一般化，而將作為d之擴充構造 作為對象。其中d為2以上之整數。 如以上所述，雖提出有對限定於f料㈣數=2^eistei 構造的職之適用結構，但是，並不瞭解對具有資料系列 數幀似之任意數的d之擴充〜制構造，來適用刪以 提面抵抗性之方法。而本發明係對具有❿之任意數的資 枓糸列數d之擴充—造，適用擴散行列切換機構 (DSM) ’來實現提高對差分攻擊及線性攻擊之抵抗性的結 構者。 ^下就本發明之具體結構及處理例作說明。 (4 -1 ·擴充 Feistel構造） 全、以下’就擴充Feistel構造之定義，$照圖5作說明。本 D兒明書中，將擴充Feistel構造定義如下。 L具有d個(d為2以上)資料系列，各資料系列 mn位元。 丁兩 2· F函數之輸入輸出尺寸為11^位元。 3.具有稱為回之處理單位’在回内，對一個或數個資 '斗糸列只施F函數之變換處理，其結果在另外之資料系列 r成為互斥或。其中，2個以上之F函數包含於!回内時， 糸成為全部之F函數的輸人輸出之資㈣列中不存在重複 之系列者。 120295.doc -27- 200821999 參照圖5，說明藉由上述定義而構築之擴充histu構造 之例。 上述定義1·具有d個（d為2以上）資料系列，各資料系列之 尺寸為mn位元。 就該定義，參照圖5作說明。圖5中定義資料系列i〜d之 各個資料系列的輸人輸出尺寸為mn位元，輸人輸出之總位 元數係d mn位元。

上述定義2· F函數之輸入輸出尺寸gmn位元。 就該定義，參照圖5作說明，如F函數2〇2中，自資料系 列2輸入由上階之互斥或（x〇R)演算部2〇1之演算結果的邮 位元’進-步輸人回鍵K，來執行演算處理。該演算處理 係參照圖2(b)而說明之處理，且包含8盒中之非線性變換 與適用線性變換部中之線性變換行列奶的線性變換處理。 F函數202之輸出係mn位元，且輸入資料系列4之互斥或 (XOR)演算部203。 上述定義3.具有稱為回之處理單位，在回内，對一個或 數個資料系列實施Μ數之變換處理，其結果在另外資料 ^列中成為互斥或。其中，2個以上之f函數包含於ι回内 ::係成為全部之F函數的輸入輸出之資 重複之系列者。 就該定義，參照圖$作 乍月。圖5中顯示具有r回之結構 的擴充Feistel構造。各回中 再 ^ 各口中包含1個以上之F函數，其結果 在另外之貧料系列中成

函數包人於1T^ 圖5所示之回n，數個F 3 。 。而係圖5所示之F函數211與F函數212。 120295.doc -28- 200821999 如此，1回中包含數個F函數時，各F函數之輸入輪 列係各個不同之資料系列，且 ” 作為輸入輸出系列。 複之貝料糸列不適用 .圖5所示之F函數211的輸人資料系列係資料系列卜 資料系列係資料系列2。 F函數212之輸入資料系列係資料系列5以上之任何一 個，輸出資料系列係資料系列3，

且設定任何-個輸入輸出資料系列亦不重複。 一另外，亦如圖5所示，本說明書中，F函數以⑺來表 不，回鍵以[κ]來表示。設定於此等各識別符ρ，κ之尾標且 有以下之意義。 IV、κ/之i表示回 別編號。 n表示同一回中之F函數或回鍵的識 、另外’以下之說明中，各回中之F函數的線性變換部中 適用的線性變換行歹彳以Γλ/Π卞主- 俠仃幻以[Μ]來表不，設定於Μ上之尾標亦 與上述相同，不過，圖上並未顯示。 i之^丨表不回，Π矣η 表不汉疋於同一回之數個F函數分別對 應之線性變換行列的識別編號。 圖6係表不具有滿足上述定義之7個資料系列（扣7)之擴 充Felstel構造例者。另外，圖6中省略了各F函數之輸出與 各資料系狀互斥或演算（職）部之符號，不過各F函數 之輸_資料系列之各交叉點，係執行各個輸入之互斥 或次异（XOR)，其互斥或演算（x〇R)結果輸出至同一資料 系列之下方向的結構。圖6所示之例係回Η、回W、、回 120295.doc -29- 200821999 i + 9、回i + 10在一回中包含2個以上？函數之回，顯示於此 等回之F函數[F]與回鍵[K]，將表示同一回中之？函數或回 鍵之識別編號的編號顯示於右上方。 按照上述定義1〜3，來構築系列數〇1為〇1=2之1^1以61構造 時，成為包含2個資料系列之Feistel構造，亦即，成為之 前參照圖1而說明之Feistel構造。亦即，形成2個之各資料 系列交互地F函數來回之接線構造，而具有3個以上資料系 列之擴充Feistel構造時，因為存在數個作為F函數之輸入 與輸出而選擇之資料系列，所以接線構造不一定。亦即， 擴充Feistel構造係d愈大，F函數之設置場所的自由度愈指 數函數地增大。 本發明係提出在此種擴充Feistel構造中，實現提高對差 分攻擊及線性攻擊之抵抗性的擴散行列切換機構（DSM : Diffusion Switching Mechanism)之結構。 糸列數d為d=2之Feistel構造，如圖3及圖4所示，係藉由 將在構成Feistel構造之回函數（F函數）部的線性變換部（p 層）中適用之行列，作為2個不同之線性變換行列μ〇、或 是3個不同之線性變換行列M〇、Ml、μ2等，來實現dsm。 不過’為了實現DSM，適用之行列需要滿足特定之條件。 該條件之一，係前述關於分歧數（Branch)的約束。 在資料系列數d為 d : d- 2之任意整數 的擴充Feistel構造中，在說明實現DSM之結構前，就以 下說明中使用之擴充Feistel構造之各結構部及各結構部之 120295.doc -30- 200821999 輸入輸出資料的定義，參照圖7作說明。 圖7係僅抽出構成如圖6所示之擴充Feistel構造的1個資 料系列而顯示之圖。如圖7所示，瞭解對某丨個資料系列之 輸入資料，1次以上之F函數的輸出實施互斥或（x〇R)而到 達輸出。此與擴充Feistel構造中包含之任意的資料系列吻 合。 圖7係表示對一個資料系列[s(i)]，藉由互斥或演算 f (X〇R)合計數個F函數[~υ，ι、Fs(i〉，2、···]之輸出的情況。 另外，將擴充Feistel構造中之d個資料系列分別作為 s(i)(l S d)，將輸入資料系列s⑴之F函數，自接近資料 系列s(i)之輸入者註記為匕⑴，丨、Fs(i)，2、…。 此外，將資料系列s(i)之輸入資料作為霄仙。， 將F函數Fs⑴，j之輸出實施互斥或後的資料作為Ws⑴j。 此外’將對F函數Fs⑴，】之輸入資料作為 各Xs⑴，j係屬於資料系列s(i)以外之另外系列的資料， f , 不過’此處不問此等屬於何處之系列。 k-/ 此時，擴充Feistel構造可考慮為相互連接此種d個資料 系列而構成者。 擴充Feistel構造中，實現DSM用之結構 以下’說明作為d: d—2之任意整數 之擴充Feistel構造中，實現DSM用之結構。說明係就： (4-2)擴充Feistel構造中，提高對差分攻擊之抵抗性用的 結構 (4-3)擴充Feistel構造中，提高對線性攻擊之抵抗性用的 120295.doc -31 - 200821999 結構 此等各結構依序作說明。 只充Feistel構造中，提高對差分攻擊之 的結構） 用 百先’就擴充Feistel構造中，提高對差分攻擊 用的結構作說明。 如刚述’差分攻擊係藉由多次分析具有某個差分⑽)之 ( 輸貝料（明文）與其輸出資料（密文），來分析各回函數中 k用鍵的攻擊’谋求對差分攻擊之抵抗性的指標，適用 表，差分之連接關係之差分路徑中包含之差分主動S-box 、最】數差刀路徑係除了加密函數中之鍵資料的資料部 分中之差分值。線性變換處理之前後，係一對一地決定輸 入差分與輸出差分之關係，非線性變換處理之前後，不成 為-對-，而係算出對某個輸入差分之輸出差分的出現概 率。全部合計對全部之輸出的概率時為1。 (； 具有SP型之F函數的Feistel構造中，非線性變換僅係s_ b〇x。此時，具有〇以外之概率的差分路徑，係自對明文 (輸入）之差分值開始至密文（輸出）之差分值的差分資料之 • 集合，在全部之S_b〇x前後賦予之差分值，具有0以外之概 率。將輸入具有〇以外之概率的某個差分路徑iS_b〇x的差 分值並非0者，稱為差分主動S_box。將具有〇以外概率的 全部差分路徑之主動S-box數中最小數，稱為最小差分主 動S-box數，使用該數值係作為對差分攻擊的安全性指 標0 120295.doc -32- 200821999 雖增大最小差分主動s-b〇x數，但是造成對差分攻擊之 抵抗性的提高。以下，就構築資料系列數3為d ^ 2之任意 整數的擴充Feistel構造中，增大最小差分主動s_b〇x數之數 量的DSM構造之方法作說明。 將擴充Feistel構造中包含之F函數[Fs⑴，x】使用的線性變 換行列作為[Ms⑴，x]。此時，將適用分歧數演算函數·· • Branch()之分歧數的算出式⑴）定義如下， [數2]

D B2D= mm(Branchn([Ms〇)J | Ms(〇J+l])) 上述式係求出在輸入構成擴充Feistel構造之任意資料系 列s(i)的2個相鄰之F函數[Fs(i}，』、Fs(i}，川]中使用的2個線性 變換行列[Ms(i)，j、Ms⑴，j + i]的結合行列[Ms⑴，j|Ms⑴，j + 1]中 之分歧數的最小值之公式。 在構成擴充Feistel構造之任意的資料系列s(i)中，將相 當於自輸入資料系列8(丨）之！7函數之上階的個數之⑴作為任 (J 意之』，就資料系列s⑴上之資料[ws⑴，』]作考慮。 就夾著對輸入資料系列s⑴之2個F函數[Fs⑴卜丨]、％⑴，』+2] - 的資料系列s(i)之輸入部的資料系列s(i)上之輸入輸出資料 ' [Ws(i)，j]與[ws ⑴，j+2]，考慮 * Ws(i)，j=〇，

Ws(i)，j + 2 = 〇之情況。 此時，輸入資料系列s(i)之F函數中，在對相鄰之F函數 [Fs⑴，j+1]與[Fs⑴，W]之各個輸入差分值[AXS⑴，』+1]與[AXS⑴，j+2] 120295.doc -33- 200821999 之間，以下之關係式成立。 [數3] K(^(0J+1) + hwn(AXs{i)J+2) > B〇(s(i)) 另外，上述式中，hw係漢明權（Hamming weight)，上述 式之左邊表示F函數之輸入差分資料中的非零之要素數， 亦即主動S-box數之和。保證該數為大的值者，係可期待 對差分攻擊提高抵抗性的條件。因此，若其以外之條件相 同’導致須以儘量增大_))之方式，選擇構成擴充 Felstel構造之各F函數内的行列。 先前之擴充Feistel型密碼，—般是全部之F函數内的線 性變換部利用一個線性變換行列之結構。 但是，輸入資料系，⑴之2個相鄰之？函數A⑴^⑴川] 中使用之2個線性變換行列[Ms⑴，』]、[Ms⑴，』+1]係同一行列 時，適用前述分歧數演算函數：Branch〇之分歧數的算出 式，亦即， B2D(s(i)) 一定成為最低值之2。因而’無法預期抵抗性提高之效 果。 f外，即使使用不同之行列時，不慎選擇2個行列時， 可此B2D(s(i))成為2。 將藉由前述m數算^所定“ Β2%⑴)作為更大 之分歧數’可增大保證局部之最小差分主動s-b0x數，而 ，對差分攻擊之抵抗性提高。因此’如以⑼成為3以 之方式來選擇行列，可使對差分攻擊之抵抗性提高。 120295.doc -34- 200821999 對擴充Feistel構造之全部資料系列計算B2D(s(i))，在此 等中’將最小之值者作為Β2〇。以下說明將該β2〇作為3以 上之方式，來選擇F函數中之行列的方法。 (4-2-1 ·最小分歧數b〗d之值為3以上的ρ函數中之行列選 擇結構） 首先，以下說明在擴充Feistel構造之全部資料系列中之 最小分歧數[B2D(s⑴)]中，為了使最小分歧數[B2D]為3以 上，只要最低有2種行列即可實現。 首先，準備2個不同行列與[Αι]之結合行列[八^八」的 分歧數成為3以上，亦即，滿足

BranchnCfAolAi])^ 3 之2個不同的行列[A〇]與[AJ。 其次，設定輸入擴充Feistel構造之資料系列8(丨）的數個F 函數之線性變換部的線性變換行列如下。 以設定於最初之F函數Fs⑴，i之線性變換部的線性變換行 列為A〇， 設定於第2個F函數Fs⑴，2之線性變換部的線性變換行列 為A1， 没定於第3個F函數Fs⑴，3之線性變換部的線性變換行列 為A 〇， 之方式’對輸入資料系列s(i)之數個f函數，自上起依序 交互配置2個不同的行列[A〇]與[AJ。 如此設定線性變換行列時，求出輸入任意之資料系列 120295.doc -35- 200821999 S(1)之2個相鄰的F函數[Fs⑴，j、Fs⑴，j + i]中使用之2個線性變 換行列[Ms⑴，】、Ms⑴，j+1]的結合行列[Ms⑴，」Μ")，j + i]中之 分歧數的最小值之上述公式係： [數4] (^(0) = mm(Branchn([Ms(i)J | Ms^x})) > 3 亦即，保證最小分歧數係3以上。 當然，即使替換行列[A〇]與[Al]效果仍相同。此外，就 擴充Feistel構造之全部的資料系列s(i)，同樣地設定行列 時，僅使用2個行列即可使b2d之值為3以上。 如此，準備滿足BranchnQAolAi])—3 之2個不同的行列[a〇]與[AJ，藉由將此等各行列交互地 配置於輸入擴充Feistel構造之各資料系列 <卩的？函數來設 定，可使最小分歧數BJ之值為3以上，來實現藉由擴散行 列切換機構（DSM)對差分攻擊之抵抗性的提高。 上述之說明，係適用2個不同的行列[A〇]與[A」之例。 其次，以下說明不同之行列為2以上之任意數予以一 般化之例。 將擴充Feistel構造中包含之F函數[Fs⑴，』]使用之線性變 換行列作為[Ms⑴，』]。此時，如以下地定義適用分歧數演 算函數：Bi*anch()之分歧數的算出式β2〇(8(〇)， [數5] Βΐ (,(〇) = ^{Branchnms{i)J | MJ(〇J+11 Ms{i)J+11.·· | Mi(〇J+M])) 上述公式係求出輸入構成擴充Feistel構造之任意的資料 120295.doc -36 - 200821999 …、Fs⑴，j+H] …、Ms⑴，j+U] 系列s(i)之k個相鄰之F函數[Fs⑴，』、Fs⑴， 中使用之k個線性變換行列[Ms⑴，』、Ms(i)， 的結合行列[Ms⑴，j|Ms⑴，j +小·· |MS⑴，j+k-1]中之分歧數的最 小值之公式。 在構成擴充Feistel構造之任意的資料系列s(i)中，輪入 資料系列s(i)之F函數的相當於來自上階之個數的⑴為任咅 之j，就資料系列s(i)上之資料[Ws⑴，j]作考慮。 Γ

就輸入資料系列s⑴之以固F函數[Fs⑴，[Fs⑴，的]之夾 著對資料系列s(i)之輸入部的資料系列s(i)上之輸入輸出資 料[W^j]與[Ws⑴，j+k]考慮 Ws⑴，尸〇，

Ws⑴，j+k=〇之情況。 此時， 輸入資料系列S(i)之F函數中，在與對相鄰之k個F函數 [Fs⑴，川]··· [Fs⑴，j+k]之各個輸入差分值[AXs⑴，卜丨]…[Δ&⑴刊] 之間’獲得以下之關係式。 [數6] j+k 另外，上述式中’ ^係漢明權，上述式之左邊表示F函 數之輸入差分資料中的非零之要素數，亦即主動s_b⑽數 :和。保證該數為大的值者’係可期待對差分攻擊提高抵 ^ 1±的，件。因此’若其以外之條件相同，導致須以儘量 增大⑴）之方式，選擇構成擴充Feistel構造之各F函數 120295.doc -37- 200821999 内的行列。 但是，輸入資料系列8⑴之k個相鄰❹函她⑴]..

中使用之让個線性變換行列㈧ J 中，即使相同行列存在〗個，適 S〇)， 週用别述分歧數演算函數·

BranchO之分歧數的算出式，亦即 BkD(s(i)) -定成為最低之值的2。因而無法預期抵抗性提高之效 果。 此外，即使_線性變換行列[Ms⑴，十.视⑴，j+ki]中使 用不二之行列時，不慎選擇行列時，可能成為2。 將前述之藉由分歧數算出式而定義之BkD(s(i))作為更大 之分歧數’可增大保證局部之最小線性主動“⑽數，而 使對差分攻擊之抵抗性提高。因此，如藉由以BkD(s⑴）成 為3以上之方式來選擇行列，可使對差分攻擊之抵抗性提 南0 以下說明對擴充Feistel構造之全部資料系列計算 BkD(s⑴）’將此等中最小值者作為ν。以使該^成為3以 上之方式，來選擇F函數中之行列的方法。 (4-2-2·最小分歧數BkD之值為3以上的卩函數中之行列選 擇結構） 以下說明為了使擴充Feistel構造之全部資料系列中的最 小分歧數[BkD(s(i))]中，最小之分歧數[BkD]為3以上，只要 最低有k種類之行列即可實現。 首先’準備k個不同之行列[A〇]、[Al]、[A2]、…[Ak-1]的 120295.doc -38- 200821999 結合行列[AolA^.’IAk」]之分歧數為3以上，亦即，滿足

Branchn([A〇|A小··丨A^])- 3 之k個不同的行列[A〇]、[AJ、[A2]、…[Ak 1卜 其次，設定輸入擴充Feistel構造之資料系I⑴的數俯 函數之線性變換部的線性變換行列如下。 以設定於最初之F函數Fs⑴，】之線性變換部的線性變換行 列為A〇，

設定於第2個F函數Fs⑴，2之線性變換部的線性變換行列 為A1 ’ 設定於第3個F函數Fs⑴，3之線性變換部的線性變換行列 為A2 ’ 设疋於第k個F函數Fs⑴，線性變換部的線性變換行列 為 Ak-i， 設定於第k+1個F函數Fs⑴，k+1之線性變換部的線性變換 行列為A〇， 設定於第k+2個F函數Fs⑴，k+2之線性變換部的線性變換 行列為Ai， 之方式’對輸入資料系列s(i)之數個F函數，自上起依序 重複配置k個不同的行列[A〇]、[Al]、[A2]、…[Ah]。 如此設定線性變換行列[A」、[Al;j、[A2]、…[An]時， 求出輸入任意之資料系列s(i)之k個相鄰的F函數[Fs(i)，』、 Fs⑴，j + i…Fs⑴，j+k-1]中使用之k個線性變換行列[Ms⑴，j、 120295.doc -39- 200821999

Ms⑴，j+1 …Ms⑴，j+k-1]的結合行列[Ms(i)，j|Ms(i)，j+i丨…Ms⑴，的]] 中之分歧數的最小值之公式係： [數7] (5(〇) = rmn(Branchn([Ms〇)J | Ms(i)J+l | Ms{i)J+2 | - | Μ^.^])) > 3 ， 亦即’保證最小分歧數係3以上。 當然’即使替換行列[A〇]、[AJ、[Α2]、…[Ak-1]效果仍 相同。此外，就擴充Feistel構造之全部的資料系列s(i)， f、 同樣地設定行列時，僅使用k個行列即可使B2D之值為3以 上。 如此，準備滿足+ 之k個不同的行列[A〇]、[Al]、[A2]、…[Ak i]，藉由將此 等各行列依序重複配置於輸入擴充Feistel構造之各資料系 列s(i)的F函數來設定，可使最小分歧數BkD之值為3以上， 來實現藉由擴散行列切換機構（DSM)對差分攻擊之抵抗性 的提高。 (; 另外，關於k值之選擇，最低k為2以上時即可預期效 果。k愈大，因為保證之範圍變大，所以更可期待抵抗性 之提高。但是，反之，因為需要之行列種類的最小數變 ▲ 大，所以可能不適合有效之安裝。因而，k之值須為在設 • 計之階段按照狀況而選擇之值。 (‘3·擴充Feistel構造中，提高對線性攻擊之抵抗性用 的結構） 其次，說明在擴充Feistel構造中，提高對線性攻擊之抵 抗性用的結構。 一 120295.doc -40- 200821999 如之前的說明，謀求對線性攻擊之抵抗性的指標，可適 用表現線性遮罩之連接關係的線性路徑（多稱為線性近 似，不過，為了使其與差分對應，在此處使用路徑之語 詞）中包含之線性主動8_13(^的最小數。線性路徑係對除了 加密函數中之鍵資料的全部資料部分，指定特定之線性遮 罩值者。線性變換處理之前後，係一對一地決定輸入線性 遮罩值與輸出線性遮罩值之關係，非線性變換之前後，並 非成為一對一，而係算出對某個輸入線性遮罩之輸出線性 遮罩的出現概率。全部合計對全部之輸出的概率時為1〇 具有SP型之F函數的Feistel構造中，非線性變換僅係藉 由S-box處理之部分。因此，此時所謂具有〇以外之概率的 線性路徑，係自對明文（輸入）之線性值開始至密文（輸出） 之線性值的線性遮罩值資料之集合，在全部之s_b〇x前後 賦予之線性值，係具有〇以外之概率者。將輸入具有〇以外 之概率的線性路徑之S-box的線性值並非〇者，稱為線性主 動S-box。將具有0以外概率的全部線性路徑之主動s_b〇x 數中最小數，稱為最小線性主動8-1)〇乂數，使用該數值作 為對線性攻擊的安全性指標。 雖增大最小線性主動S-box數，但是造成對線性攻擊之 抵抗性的提高。以下，就構築資料系列數4為d ^ 2之任意 整數的擴充Feistel構造中，增大最小線性主動s_b〇x數之數 量的DSM構造之方法作說明。 將擴充Feistel構造中包含之F函數[Fs⑴，χ]使用的線性變 換行列作為[Ms⑴，χ]。此時’將適用分歧數演算函數： 120295.doc -41 - 200821999

Branch()之分歧數的算出式bAs⑴）定義如下， [數8] 上述式係求出在輸入構成擴充Feistei構造之任意資料系 列8⑴的2個相鄰之卩函數[Fs⑴，j、Fs(〇, j+i]中使用的2個線性變 ； 換行列[Ms⑴，j]、[Ms(i}，j + l]的各個反行列之置換行列⑴] 、ΓΜΛ⑴，j+1]之結合行列[tM-is⑴，⑴，j+i]中之分歧數 ( 的最小值之公式。 在構成擴充Feistei構造之任意的資料系列s(i)中，將相 當於自輸入資料系列s(i)之F函數之上階的個數之[』]作為任 意之j，對某個j， 對第j個F函數之輸入：xs(i)，』， 第j個F函數之輸出與資料系列s(i)上之資料的互斥或 (XOR)結果：Ws⑴，j， 對第j + 1個F函數之輸入：xs(i)，j+1， 〇 將此荨之各資料的線性遮罩分別設為： rxs⑴，j， rws⑴，j， rxs⑴，j + 1 ’ • 時’此等之中哪個沒有一個係0者時，滿足以下之公 式。亦即 [數9] ^n(TXs(i)J) + hw(TWs{0J) + hw(TXs{i)J+l) > BL2{s(i)) 120295.doc -42- 200821999 滿足上述公式。上述公式之左邊的值愈大，表示局部線 性主動S-b〇X數愈多。因此，可以說須以增大B2L(s(i))之方 式來選擇行列。 但是’輸入資料系列S⑴之2個相鄰的F函數[Fs(i)，j、Fs(i)，j+1] 中使用的2個線性變換行列[Ms⑴，』]、[Ms⑴，j + i]係同一行列 時，上述之分歧數算出式，亦即 B2L(s(i)) 一定成為最低值之2。因而無法預期抵抗性提高之效 果。雖將B2L(s(i))作為更大之分歧數，不過增大保證最小 線性主動S-box數，可使對線性攻擊之抵抗性提高。因 此如使B2 (s(i))成為3以上之方式來選擇行列，可使對線 性攻擊之抵抗性提高。 以下u兒明對擴充Feistel構造之全部資料系列計算 B2L(s(i))，此等中最小之值者作為。使該b〗l為3以上之 方式，選擇F函數中之行列的方法。 (4-3-1·最小分歧數之值為3以上的？函數中之行列選 擇結構） ' 以下說明在擴充Feistel構造之全部資料系列中的最小分 歧數中，為了使最小之分歧數[匕11為3以上，只 要最低有2種行列即可實現。 首先，準備2個不同行列[Aq]與[Αι]之結合行列[tAG_1|tAi’ 的分歧數成為3以上，亦即，滿足

Branchn([tA〇'1|tAr1])> 3 之2個不同的行列[A〇]與[AJ。 120295.doc -43- 200821999 其次，設定輸入擴充卜收61構造之資料系列s(i)的數個f 函數之線性變換部的線性變換行列如下。 以設定於最初之F函數Fs⑴，丨之線性變換部的線性變換行 列為A〇， 設定於第2個F函數Fs⑴，2之線性變換部的線性變換行列 為Αι， 設定於第3個F函數Fs⑴，3之線性變換部的線性變換行列 為A 〇 ’ 之方式，對輸入資料系列s(i)之數個F函數，自上起依序 交互配置2個不同的行列[A〇]與[AJ。 如此設定線性變換行列時，求出輸入任意之資料系列 s(i)之2個相鄰的F函數[Fs⑴，』，Fs⑴，j + i]中使用之2個線性變 換行列[Ms⑴，j、Ms⑴，j + 1]的各個反行列之置換行列[tM'⑴j 、ΓΜΛ⑴，川]之結合行列[Μ'⑴，⑴川]中之分歧數 的最小值之上述公式係： [數 10] B2l(s(〇) = .+1])) > 3 亦即，保證最小分歧數係3以上。 當然’即使替換行列[A〇]與[A!]效果仍相同。此外，就 擴充Feistel構造之全部的資料系列s(i)，同樣地設定行列 時，僅使用2個行列即可使之值為3以上。 如此，準備滿足Branchn^Ao-YAr1])—3 120295.doc 44 _ 200821999 之2個不同的行列[A〇]與[Αι]，藉由將此等各行列交互地 配置於輸人擴充Feistel構造之各f料系列s⑴的f函數來設 定，可使最小分歧數之值為3以上，來實現藉由擴散： 列切換機構（DSM)對線性攻擊之抵抗性的提高。 對具有特定形狀之擴充Feistel構造的DSM之利用結 f

如上述，藉由在資料系列數(1為(1^2之任意整數的擴充 Feistd構造中適用，可使對差分攻擊及線性攻擊 之抵抗性提高。以下說明可高度保證就差分攻擊及線性攻 擊之安全性指標的具體之擴充Feistel構造。 如之前參照圖5、圖6之說明，資料系列數d為d^2之任 意整數的擴充Feistel構造，具有對丨個資料系列之輸入可 自其他各種^料系列輸入，此外，在丨回中，可並列執行 數個F函數等各種結構。以下說明將擴充丨構造大致 上分類成2個類型（類型丨、類型2)，各類型可高度保證就差

分攻擊及線性攻擊之安全性指標的具體之擴充Feistel構 造0 (5-1.對擴充Feistel構造之類型i適用DSM) 首先’參照圖8說明對擴充Feistel構造之類型1適用 DSM。 擴充Feistel構造之類型1為具有以下之參數者。 參數 (a) 資料分割數：d(d為3以上） (b) 輸入輸出資料長：d mn位元 120295.doc •45- 200821999 (C)分割資料長：mn位元 (d)每1回之F函數數量：1 如圖8所示，各回内，係對圖8所示之左端的資料系列上 之mn位元資料適用F函數，f函數之處理結果輸出至緊鄰 之資料系列，實施互斥或。另外，圖8中省略互斥或之演 算符號。 如圖8所示，各回中，取對F函數進行資料輸入之左端的 資料系列’在其次之回移動至右端，其以外之資料系列向 左逐一偏離之結構。 以下說明如此各回在執行1個F函數之擴充Feistei構造中 適用DSM，使對差分攻擊及線性攻擊之抵抗性提高的結 構。 在之前說明之（4-2.擴充Feistei構造中，提高對差分攻 擊之抵抗性用的結構）中，係說明對擴充Feistel構造之全部 的資料系列計算Β^〇(〇)，將此等中最小之值者作為， 以遠B2為3以上之方式，選擇F函數中之行列，以提高對 差分攻擊之抵抗性。 再者’在之前說明之（4-3.擴充Feistel構造中，提高對 線性攻擊之抵抗性用的結構）中，係說明對擴充Feistel構造 之全部的資料系列計算B2L(s(i))，將此等中最小之值者作 為B/’以該6/為3以上之方式，選擇F函數中之行列，以 提高對線性攻擊之抵抗性。 除了該B2D與B2L之外，進一步 將BiD作為圖8所示之類型1之擴充Feistel構造中包含的f 120295.doc -46- 200821999 函數中之線性變換行列的分歧數中之最小分歧數。 此時，將圖8所示之類型！的擴充Feistel構造中之連續的 p回中包含之差分主動S-box數註記為ActD(p)，將線性主 動S-box數註記為ActL(p)時，存在以下之關係式。 ActD(3d)^ B1d+B2d ActL(3d)^ 2B2l 上述式中，

ActD(3d)表示連續之3d回中包含之差分主動84心數， ActL(3d)表示連續之3d回中包含之線性主動s_b〇x數。 此等關係式成立之證明於後述。 因此，藉由利用b!d，b/，Bj變大之行列，可確保多數 之主動S-box數，結果可使對差分攻擊及線性攻擊之抵抗 性提高。 另外，瞭解此等ΒΛ Β/，之理論上的最大值為 m+1 〇 上述公式，亦即

ActD(3d)^ B1d+b2d ActL(3d)^2B2L 在此等公式之右邊含有之前說明之最小分歧數或 B2 ，雖增大此等之最小分歧數之值，不過有助於確保多 數之主動S-b〇x數，有效地用於使對差分攻擊及線性攻擊 之抵抗性提高。因此，圖8所示之擴充Feistel構造之類型1 的結構中，之前說明之最小分歧數或為3以上之結 構有效，#由採用該結構，可比之前更高度保證對差分攻 120295.doc •47- 200821999 擊與線性攻擊之抵抗性。 (5 2·對擴充Feistel構造之類型2適用DSM) 其次，參照圖9，說明對擴充Feistel構造之類型2適用 DSM。 擴充Feistel構造之類型2為具有以下之參數者。 參數 (a)資料分割數· d(其中，d為4以上之偶數） 《 (b)輸入輸出資料長·· d mn位元 (c) 分割資料長·· mn位元 (d) 每1回之F函數數量：d/2 如圖9所示，各回内，係對自左端數起，在第奇數個之 mji位元資料適用F函數，μ數之處理結果輸出至緊鄰之 資料’實施互斥或。另外，圖9中省略互斥或之演 號。 +如圖9所示’各时，取對F函數進行資料輸人之左端的 u f料系列’在其次之回移動至右端，其以外之資料系列向 , 左逐一偏離之結構。 X下W兒月如此各回在執行d/2個F函數之擴充Feistei構造 中適用DSM，使對差分攻擊及線性攻擊之抵抗性提高的結 構。 在之則說明之（4-2· _充Feistel構造中，提高對差分攻 擊，抵抗性用的結構）中，係說明對擴充Feistel構造之全部 的貝料系列δ十异B2d(s⑴），將此等中最小之值者作為^， 以該為3以上之方式，選擇f函數中之行列，以提高對 120295.doc -48- 200821999 差分攻擊之抵抗性。 再者，在之前說明之（4-3·擴充Feistel構造中，提高對 線性攻擊之抵抗性用的結構)中，係說明對擴充FA爾造 之全部的資料系列計算B，(s⑴)，將此等中最小之值者作 為B/，以該B/為3以上之方式，選擇F函數中之行列，以 提高對線性攻擊之抵抗性。 除了該B2D與B2L之外，進一步 將Bf作為圖9所示之類型2之擴充Feistel構造中包含的f 函數中之線性變換行列的分歧數中之最小分歧數。 此時，將圖9所示之類型2的擴充以以^構造中之連續的 P回中包含之差分主動S-box數註記為ActD(p)，將線性主 動S-box數註記為ActL(p)時，存在以下之關係式。 ActD(6)^ B!D + B2D ActL(6)^ 2B2l 上述式中，

ActD(6)表示連續之6回中包含之差分主動s-box數， ActL(6)表示連續之6回中包含之線性主動s-box數。 此專關係式成立之證明於後述。 因此，藉由利用Bid，b/，B/變大之行列，可確保多數 之主動S-box數，結果可使對差分攻擊及線性攻擊之抵抗 性提高。 另外，瞭解此等Bl' b/，β/之理論上的最大值為 m+1 〇 上述公式，亦即 120295.doc -49- 200821999

ActD(6)^ B!D+B2D ActL(6)^ 2B2l 在此等公式之右邊含有之前說明之最小分歧數B2d或 B2 ’雖增大此等之最小分歧數之值，不過有助於確保多 數之主動S-box數，有效地用於使對差分攻擊及線性攻擊 之抵抗性提高。因此，圖9所示之擴充Feistel構造之類型2 的結構中’之前說明之最小分歧數或b2l為3以上之結 構有效，藉由採用該結構，可比之前更高度保證對差分攻 擊與線性攻擊之抵抗性。 [6·擴充Feistel構造各類型之主動8氺〇：^數，與依據卩函 數中之線性變換行列之最小分歧數的關係式之證明] 其’說明在上述之 (5-1·對擴充Feistel構造之類型丨適用DSM) (5·2·對擴充Feistel構造之類型2適用DSM) 中說明之主動S-b〇x數與依據F函數中之線性變換行列的 最小分歧數之關係式的證明。 (6-1·擴充Feiste丨構造類型丨之主動8如數，與依據f函 數中之線性變換行列之最小分歧數的關係式之證明） 首先，說明之前參照圖8說明之擴充Feistel構造類型工之 主動S_b〇X數，與依據F函數令之線性變換行列之最小分歧 數的關係式之證明。 亦即，將類型！之擴充FeisteI構造中連續之p回中包含的 差分主動S-b〇x數註記為ActD(p)，並將線性主動s如數註 吕己為ActL(p)時的關係式， 120295.doc -50- 200821999

ActD(3d)^ B!D+b2d

ActL(3d)^2B2L 證明該關係式成立。

=前參照圖8而說明之擴充Fei_構造之類型(的結構 =外形狀表示時，可如圖1〇所示。圖8係顯示以對F函數 進订輸人之貝料系列在左端之方式，每回替換各資料系列 之排列來顯示’不過，圖lG不進行資㈣列之各回的替 換’而以1個直線來顯示。圖1G顯示至卜6回。並將d回 (1〜d回，d+1〜2d’…，5d+1〜6d)排列成丨條橫線來顯示不 過，此等並非並列地執行者，而係依序執行各回，如卜d 回。 此外，圖中省略F函數之輸出與各資料系列之交點上的 互斥或（XOR)演算’不過F函數之輸出與各資料系列之交 點係執行互斥或（舰）演算，其結果成為次回之F函數的 輸入0 該擴充Feistel構造之類型i的結構令，證明之前在（5^ 對擴充Feistel構造之類型i適用DSM)中說明的關係式， ActD(3d)^ B!D+B2D ActL(3d)^ 2B2l 成立。 上述式中，

ActD(3d)、ActL(3d)表示圖8或圖1〇所示之類型i的擴充

Feis爾造中之連續的刊回中包含之差分主動8如數與線 性主動S-box數。 120295.doc • 51 - 200821999 Β/係類型1之擴充Feistew·造中包 τ匕s之F函數中的線性 變換行列之分歧數中的最小分歧數， B2，B2L係輸入之前在（4_2)，（心3)中說明之擴充_ 造中包含之i個資料系列的連續之Μ數中的線性働 之結合行列的最小分歧數，及反行列之置換行列的結合行 列之最小分歧數。 ΒΛ B2D，B2L定義如下。 [數 11] = mm^Branch^M^) Βζ = mjn(Branchn([Mi | Mi+d])) 另外，上述定義中， B!D^B2D 之關係成立。 此外，將圖8或圖10所示之類型1的擴充Feistel構造中之 第k個F函數中包含之差分主動s-box數以Dk表示，線性主 動S-box數以Lk表示。 (證明 1· ActD(3d)^ Bf+B/之證明） 首先，證明 ActDp^^Bf+B/。 亦即，證明圖8、圖10所示之類型1的擴充Feistel構造 中，連續之3d回中包含之差分主動S-box的數量係B1D+B2D 以上。 在類型1之擴充Feistel構造中，就賦予輸入並非零之差 120295.doc -52- 200821999 分（Δχ)的情況作考察。此種情況下，類型1之擴充Feistel構 造具有以下4個性質。 (性質1)連續之d回中，最低一回存在差分主動s-b〇x並非 0者。 (性質 2)Dk=〇時，Dk_d+1=Dk+l (性質 3)Dk：^〇時，Dk-dw+Dk+Dk+l-B^

(性質 4)Dk+Dk+d#〇時，Dk_d+1+Dk+Dk+d+Dk+d+1^B2D 利用以上之4個性質，證明

ActD(3d)^B1D+B2D 亦即，證明[連續之3d回中包含之差分主動s_b〇x的數量 係 BiD+B/w 上]。 考慮作為對象之回為第i+Ι至第i+3d回。 情況1 :若第i + d+2回至第i+2d-l回存在並非〇之主動^ box之情況。 將並非0之主動S-box存在之回設為k時，表示成Dk^〇。 情況1-1 :除情況1之外，係之情況， 由於自性質3係Dk+Dku+Dw+gB^ 自性質 4係 Dk+u+Dwd+Dkd+Dk+d- B2d 因此，成為 [數 12]

Md 7=/+1 情況1-2 :除情況1之外，係Dk+1^〇之情況， 由於自性質 3係 Dk+1+Dk+2+Dk_d+2- 120295.doc -53- 200821999 自性質 4係 Dk+Dk.d+1+Dk+d+Dk+d+1 g B2d 因此，成為 [數 13]

Md 7=/+1 情況1-3 ··除情況1之外，係Dk+^eO且Dk+1 = 〇之情兄 由於自性質2係Dk=Dk+d关0 自性質 3係 Dk+Dku+Dk.d+QB^ 自性質 3係 Dk+d+Dk+d+1+Dk+1 - B2d Dk+1 = 〇，因此，成為 [數 14]

Md

j=M 情況2 :若第i+d+2回至第i+2d-l回不存在並非〇之主動s-box之情況。 自性質1係Di+d+1关0，或Di+2d^0。 情況2-1 :係Di+d+1^0，但是Di+2d=〇之情況， 由於自性質2係Di+d+1=Di+2d+1关0 自性貝 3係 Di+d+i+Di+cj+2+Di+2gBiD 自性貝 3係 Dwd+i+Diud+z+Di+d+z^BjD Di+d+z^O，因此，成為 [數 15] i+3d TDj^2Bxd 120295.doc -54- 200821999 情況2-2 :係Di+d+1 = 0，但是Di+2d：^〇之情況， 由於自性質2係Di+2d=Di+d_ 〇 自性質 3係 Di+d+Di+d+1 + Di+1 - B/

自性質3係Di+2d+D i + 2d+l+Di + d+l ^ ΒχΌ

Di + d+l = 0，因此，成為 [數 16]

Md ZDj^2B{d

j=M 情況2-3 :係Di+d+1^〇且Di+2d^〇之情況， 自性質 3係 Di+d+1+Di+d+2+Di+2—B/ 自性質 3係 Di+2d+Di+2d+1+Di+d+Di+1 — B2d 因此，成為 [數 17]

/+3J Σ^.^β^+β^

j=M 綜合以上之情況1與情況2時，證明係 [數 18]

/+3J

j=M 亦即，

ActD(3d)^B1D+B2D 成立’證明在圖8、圖10所示之類型1之擴充Feistel構造 中’連續之3d回中包含之差分主動S-box之數量為Β^+Β^ 以上。 120295.doc -55- 200821999 (證明 2. ActL(3d) — 2B2L之證明） 其次，證明 ActL(3d)^2B2L。 亦即，證明圖8、圖10所示之類型1的擴充Feistel構造 中，連續之3d回中包含之線性主動s_b〇x的數量係2B2L以 上。 另外，如前述，B2L定義為： [數 19] 对=min(5 歷 YM&])) Γ ‘ 1 此外，將第k個F函數中包含之線性主動8-13(^的數量以 Lk表示。 在類型1之擴充Feistel構造中，賦予輸入並非零之線性 遮罩的情況下，具有以下2個性質。 (性質5)連續之d回中最低一回存在線性主動s_b〇x並非〇 者。 (性質 6)Lk+Lk+1+Lk+dg B2L，或是 Lk+Lk+i+Lk+d=〇。另 I) 外，Lk+Lk+1+Lk+d - B/時，並無左邊包含之2個以上之項 同時為0。 -利用以上之2個性質，來證明

ActL(3d)^ 2B2l 亦即，證明 [連續之3d回中包含之線性主動^斗⑽的數量為2b2l以 上]。 考慮作為對象之回為第i+Ι至第i + 3d回。 120295.doc -56- 200821999 情況1 :若自第i+d+2回至第i+2d回中存在並非〇之主動s-box 時。 將存在並非〇之主動^^^乂的回設為k時，為Lk关〇。 情況1-1 :除情況1之外，係Lk+d关0或Lk-i^O之情況， 由於自性質6係Lk+Lk+d+Lk+1 g B2l 自性質 6係 Lkd+Lk.w+Lk.d-B2l 因此，成為 [數 20] i+3d

Tlj^2Bl2 十月況1-2 :除情況1之外，係Lk+d=〇且Lk-1 = 0之情況， 由於自性質6係Lk-d+1妾0 自性質 6係 Lk+Lw+Lk+u g B2l 自 F生質 6係 Lk-d+i+Lk+i+Lk-d+2$ B2L 此時，d - 4時，係 [數 21] i+3d ]-ΪΛ\ d=3時，係Lk-1加權，但是瞭解已經是Lk-eO，所以同樣 地係 [數 22]

Md Σ^2埒

j=M 情況2 :若自第i + d+2回至第i+2d回中不存在並非〇之主 120295.doc -57- 200821999 動S-box時。 自性質1成為Li+d+1妾0。 自性質6係Li+d^0 自性質 6係 Li+d+1+Li+d+2+Li+2d+1 - B2l . 自性質 6係 Li+d+Li+d-i+L i+2d-i ^ B2l 此時，d - 4時，係 [數 23]

Md C TLj^2Bl2

j=M d-3時’係Li+5加權，但是瞭解已經是Li” = 〇，所以同樣 地係 [數 24] i+3d ^Lj^2Bl2 7=/+1 綜合以上之情況1與情況2時，證明係 [數 25] 1) Md T,Lj^2Bl2

j=M 亦即，

ActL(3d)^ 2B2l 成立，證明在圖8、圖l〇所示之類型i之擴充Feistel構造 中，連續之3d回中包含之線性主動8斗的之數量為2Β/以 上。 (6_2·擴充Feistel構造類型2之主動8吨〇乂數，與依據1?函 120295.doc -58- 200821999 數中之線性變換行列之最小分歧數的關係式之證明） 其_人’參照圖9說明擴充Feistel構造之類型2的主動s_ box數與依據f函數中之線性變換行列的最小分歧數之關係 式的證明。 亦即，將類型2之擴充Feistel構造中連續之p回中包含的 差分主動S_b〇x數註記為ActD(p)，並將線性主動S-b〇x數註 記為ActL(p)時的關係式，

ActD(6)^ B!D+b2d ActL(6)^2B2L 證明該關係式成立。 、將之前參照圖9而說明之擴充Feistel構造之類型2的結構 以另外形狀表示時，可如圖丨丨所示。圖9係每回替換各資 料糸列之排列來顯示，*過，_不進行資料系列之替 換，而以1個直線來顯示。圖⑽示仏加。並將2回 (1〜2、3〜4、..）之F函數排列成i條橫線來顯示。如顯示於 圖11所示之1〜2回之橫線上的F函數Fl，〇〜Fl，d」中，& 〇、

Fl’、2、“.F1，d_2之每隔1個F函數（輸出之箭頭朝上）在第1回 中並列地執行。其次之第2回中，其餘之' 丨、F"、…f… 之每隔1個F函數（輸出之箭頭朝下）並列地執行。’3 ^ =中，識別F函數用之編號’係為了容易瞭解證明而 重新¥人者，且使用2個數字來決定F函數之位置。 二之i表示回數㈣、2回、2=3、4回..），#示2回中 固F函數。另外，】為〇、2、4之偶數時，係之前回中 ，』為卜3、5之奇數時，係後續回中之F函數。另 120295.doc -59- 200821999 外，將F函數F 中包含 ，J下匕3之線性變換行列稱為[Μ“」。 呑亥擴充Feistel構造之類别2的社接士 頰生2的結構中，證明之前在（5-2. 對擴充Feistel構造之類剞翁田 貝型2適用DSM)中說明的關係式，

ActD(6)^ B!D+B2d ActL(6)^ 2B2l 成立。 上述式中， ί %

ActD(6)、ActL⑹表示圖9或圖u所示之類型2的擴充 油㈣造中之連續的6回中包含之差分主動“。x數與線 性主動S-box數。

BlD係類型2之擴充Feistel構造中包含之F函數中的線性 變換行列之分歧數中的最小分歧數， B2D、B2L係輸入之前在（4·2)、（4·3)中說明之擴充阳制 構造中包含之1個資料系列的連續之F函數中的線性變換行 列之結合行列的最小分歧數，及反行列之置換行列的結合 行列之最小分歧數。

BiD、B2D、B2L定義如下。 [數 26] = mm(Branchn(Mi j)) = mmiBranch^M^. |Mmj])) 劣二1w]))

另外，上述定義中， B!D^B2D 120295.doc -60- 200821999 之關係成立。 此外’將Fp，q中包含之主動s-box數量以Dp，q來表示。另 外’以下’尾標q之部分具有負之值或d以上之值情況下， 進行d之剩餘演算（q m〇d d)，以始終成為q< d之方式作 修正。

(證明 3· ActD(6)^ Β^+Β/之證明） 首先’證明 ActDWgBiD+B^。 亦即，迅日月在圖9、圖11所示之類型2的擴充Feistel構造 中連、戈之6回中包含之差分主動s-box的數量為β^+β/ 以上。 考察在類型2之擴充Fei t丨谣、皮 ，、 Stel構以中，賦予輸入並非零之 差分（Δχ)的情況。此時，類 4個性質。 1之擴充Femel構造具有以下

(性質D對某個i，在Fp，q(p 差分主動S-box並非〇者 (性質 2)DP，q = 〇 時， 為偶數時） Dp’ q+l—Dp+1，q+1(q為奇數時） (性質3)Dp，時， qe{〇、 d_i})之中存在 DP，q+Dp-l, q+l+Dpj q+1^ Bj Dp9q+〇P, ^i+DP+i,q + 1>Bl (性質 4)Dp，q+Dp+1，㈣時， (q為偶數時） (q為奇數時）

Dp, q+Dp+1，q+£>p-1 +dq^p+l! q+Dp q；；；D P+1-+^B2D(q4^^af) ，p+2，q+1AD(q 為奇數時） 120295.doc -61 . 200821999 利用以上4個性質，證明

ActD(6)^ 亦即證明「對！以上之任意整數卜滿足pe{i、i+l、 i+2}，qe{〇、i、·. d_1}23(^F函數Fp」中包含之差分主 動S-box的總數為Bf+Bj以上」。 任意地取出Dp，q(p=i+1、q，，.. d_1})並非〇之要素時， 其係Dj，k*0。由於上述之（性質1}而表示一定存在。 情況 1 ·· Dj，時， 由於從性質3係

Dj’ k+Dj·!，k+1+Dj，為偶數時）

Dj，k+Dj，k+1+Dj + 1，k+1- 為奇數時） 從性質4係 Α·1’ k_1+Dj’ w+Dj·1’ k+D* + i，B2D(k為偶數時）

Dj，k-,+Dj + 1’ w+E^，k+Dj + i，& Β2、為奇數時） 因此， [數 27] /+2 d-\ ΣΣ心W+砑 p=i q=0 成立。 情況 2 · Dj，k+1 # 0 時， 由於從性質3係

Dj，k+i+Dh k+2+Dj + 1，k+2- BiD(k為偶數時）

Dj，kw+Dji k+2+Dj，k+2- :^^汴為奇數時） 從性質4係 120295.doc -62 - 200821999 °i，k+Dj + 1，k+Dj-丨，卜㈤川，k+1 - B °M，k+Dj，k+Dj·〗，k+1+Dj + 1，k+1 - b 因此，

D ’(k為偶數時） (k為奇數時） [數 28] i+2 d-lΣΣ^,^β^β： pz=i q=〇

成立。 情況3 : Dj’k-eO且Dj k+i吲時， 由於從性質2係Djj-po，因此 Dj + i, k—Dj，0〇(]<:為偶數時） °Μ，k=Dj，0〇(k為奇數時） 由於從性質3係

Du+Dj+w+Du+QBAk 為偶數時） Dj’ k+Dh k+1+Dj + 1，k+1$ BiD(k為奇數 進一步從性質3 時）

Dj+1，k+DL k+1+Dj + 1，k+1g 〜，為偶數時） DJ-i，k+Dj-丨’ k+1+DL k+1 g B丨D(k為奇數時） 係 Dj，k+1 = 〇，因此， [數 29] /+2 ίΜΣΣν 吋+b2dp=i q-0 成立。 綜合以上時，證明係 [數 30] 120295.doc 63- 200821999 /+2 d-\ 亦即，

ActD(6)^ BiD+B2D 成立，證明在圖9、圖11所示之類型2的擴充Feistel構造 中，連續之6回中包含的差分主動S-box的數量為Bf+B^ 以上。 (證明4· ActL(6)2 2Β^之證明）

其次，證明 ActL(6)g2B2L。 亦即，證明在圖9、圖11所示之類型2的擴充Feistel構造 中’連續之6回中包含之線性主動s-box的數量為2B2L以 上。 另外，如前述，B2L定義為： [數 31]

Bl2 =^n(Branchn{[M：^M：lXj])) 此外，將第Fp，q個F函數中包含之線性主動s_b〇x數，以

Lp，q表不〇 、在類型2之擴充Feistel構造中，賦予輸人並非零之線性 遮罩的情況下，具有以下2個性質。 d-l})之中存在 (^生貝 5)對某個 i ’ 在 Fp，q(p = i、{〇、 線性主動S-box並非〇者 (性質6)

Lj，k+Lj + 1，k+Lj，k+1-B2L4Lj，k+Lj” 時） k+Lj， k+i = 0(k為偶數 120295.doc 64- 200821999

Lj，k+Lj + 1，k+Lj + 1，⑷ 2 B2y Lj，k+Lj + 1，k+Lj + 1，k+1 = 0(k為奇 數時） 另外，為 La+Lb+Lcg B 以上的項同時為〇。 ^之形狀時，並無左邊包含之2個 利用以上2個性質，證明 ActL(6)^ 2B2l 邳即，證明

w主双1，碼足pe{i、i+1、 1+2} ’ qe{〇、i、.. d_1}之刊個動一總數树以上」。 -中包含之線性主任意地取出Lp，q(p=i+1、qe{G、.叫）並非 時’其係Lj，㈣。此種Lj,k由於性f 5 ”從性質6 而表不-定存在。 Ο

Lj' k+Lj，k+Lj' k+1^B2L(k為偶數時） Lj’ k+Lj + 1，k+Lj + 1，k+1 - B2L(k為奇數時） 情況 1 ·· Lj，k-1：?t〇 時， 從性質6係

Lj，w+Lju，k-1+Lj + 1，q Β2>為偶數時) Lj-〗，w+Lj，w+Lw，B2L(k為奇數時） 因此，此時 [數 32] /+2 rf -1ΣΣ1Ρ，^Β2 p=i q=0 成立。 情況 2 : Lj，k-1 = 〇 時， 120295.doc -65- 200821999 由於從性質6係 Lj-1，k-i#〇(k為偶數時） Lj + i，k-i矣〇(k為奇數時） 因此， J， h k 2 j·1’ k-i- B2L(k為偶數時） k’2 Lj + 1’ k_2+Lj + 1，Μ 為奇數時） 此時由於d - 4，因此"丄 u此，此時 [數 33] f

/+2 d-l p=i q:Q 成立。 综合以上之情況1與情況2時，證明係 [數 34] /+2 dA p-i q=0 亦即，

ActL(6)^ 2B2l 成立’證明在圖9、圖11所示之類型2的擴充Feistel構造 中’連續之6回中包含之線性主動s_box的數量為2B2L以 上。 [7.依據F函數之設定及利用處理之設法的安裝中的改 良結構] 如上述，本發明在資料系列數·· d為d $ 2之整數的擴充 Feistel構造中，各回之ρ函數的線性變換處理’藉由適用 120295.doc -66- 200821999 、擇I*生適用至少2個以上不同行列之所謂擴散行列切換機 構（DSM)，來實現使對線性分析及差分分析之抵抗性提高 的結構。 如此，以硬體實現執行選擇適用不同之數個行列的演算 處理之結構時，需要具有進行對應於各個行列之演算的硬 體結構之不同的F函數處理部。特別是在i回中，並列地執 行數個F函數情況下，需要進行並列處理用之數個f函數用 電路。 亦即，之前參照圖9及圖11說明之類型2的擴充構 造，係並列執行在同一回中適用數個F函數之資料變換處 理的結構，且以硬體執行按照該類型2之結構的處理時， 需要安裝以1回並列地執行之數量部分的F函數之硬體。此 種並列執行所要求之F函數，即使為相同結構，仍須具備 數個具有其相同結構的F函數。 如鈿述，本發明之岔碼處理結構在各回之F函數中執行 的線性變換處理中，具有藉由選擇性適用至少2個以上之 數個不同行列的結構，以提高對各種攻擊之抵抗性的結 構。亦即，係具備擴散行列切換機構（DSM : Diffusi〇n Switching Mechanism)之結構者。 為了滿足該擴散行列切換機構（DSM)，只須滿足設定於 數個不同行歹，j等的條件即可，該數個不同行列係滿足從依 據輸入擴充Feistel構造之各資料系列s(i)的連續之]^個（其 中，k為2以上之整數）F函數中包含的線性變換行列而算出 之資料系列對應的最小分歧數[BkD(s(i)乃中選擇之全部資 120295.doc -67- 200821999 料系列中的最小分歧數[BkD]為3以上之條件，各回中並列 執行之F函數中並無特別約束。 以下，說明依據該特性，在擴充FeisteUt造中維持依據 擴散订列切換機構（DSM)之抵抗性，且提高安裝效率的結 構例。 ° (7·1·擴充Feistel之類型2的有效之F函數配置方法） 首先，說明之前參照圖9、圖i丨而說明之擴充卜“^之 類型2的有效函數配置結構。類型2之擴充Feiste丨構 造’如之前說明之項目（5·2·對擴充Feistel構造之類型2適 用DSM)中所述，具有以下之參數。 參數 (a) 資料分割數：d(其中，d為4以上之偶數） (b) 輸入輸出資料長：d mn位元 (c) 分割資料長：mn位元 (d) 每1回之F函數數量：d/2 亦即，如圖9所示，各回内，係對自左端數起，在第奇 數個之mn位元資料適用F函數，F函數之處理結果輸出至 緊鄰之資料，實施互斥或。另外，圖9中省略互斥或之演 算符號。 以下，說明提高對具有此種結構之類型2的擴充Feistel 構造之安裝效率的結構。一個範例，係參照圖12說明資料 系列數（分割數）d=4之情況。圖12中將藉由2個不同之線性 變換行列Ml、M2執行線性變換的2個F函數分別設為F1、 F2 〇 120295.doc •68- 200821999 圖12所示之Feistel構造係使用F函數F1、^之]個F函數 的d=4之擴充Feistel構造的類型2。亦即，其結構具有： (a) 資料分割數：4 (b) 輸入輸出資料長：4 mn位元 (c) 分割資料長：mn位元 (d) 每1回之F函數數量：4/2=2 δ亥圖12所示之結構的情況，欲使用2個函數以滿足DSM 條件，而考慮數種配置。亦即，為了滿足DSM條件，如前 述，只須滿足設定於數個不同行列等的條件即可，該數個 不同行列係滿足從依據輸入各資料系列s(i)的連續之匕個 (其中，k為2以上之整數函數中包含的線性變換行列而 算出之資料系列對應的最小分歧數[BkD(s(i))]中選擇之全 部資料系列中的最小分歧數[BkD]為3以上之條件，各回中 並列執行之F函數中並無特別約束。 因此，F函數之設定形態可為·· :] (a)將1回中設定之數個F函數設定為同一個F函數， (b)將1回中没定之數個F函數設定為不同之ρ函數， 之上述2個形態。 此處，如圖12所示，取存在於丨回之2個1?函數彼此成為 FI、F2之方式來選擇的結構。在將i個回部分之處理為基 本’而女裝硬體（H/W)時，顯著地出現採用該結構之優 點。 亦即’硬體（H/W)安裝係設定具有可僅執行1回部分之處 理的結構，亦即如圖13所示，具有可並列執行F函數”與 120295.doc -69- 200821999 函數F2之結構的硬體。圖13係顯示具有按照圖12所示之擴 充Feistel構造執行密碼處理之硬體結構的密碼處理裝置 2 5 0之區塊圖。 密碼處理裝置250包含：執行F函數F1之第1F函數（F1)專 用處理電路251，執行F函數F2之第2F函數（F2)專用處理電 路252’控制電路253及輔助電路254。第1F函數（F1)專用 處理電路251與第2F函數（F2)專用處理電路252係可並列地 動作之結構’且在各回中，適用此等2個電路，來執行依 據2個不同F函數之資料變換。 控制電路253執行對各F函數專用處理電路251，252及輔 助電路254控制輸入輸出資料。辅助電路254執行F函數以 外之演算處理等。 藉由適用該結構，可以必要之回數量部分程度，適用第 1F函數（F1)專用處理電路251與第2F函數（F2)專用處理電路 252來進行回演算。全部之回中，可並列地執行2個？函數 專用電路，無須設置無用電路來安裝。 如圖12所示，各回並列地執行之F函數為2個時，藉由將 此等u又定為不同之F函數，藉由圖。所示之硬體安裝，可 進行全部之回演算。另夕卜，相同設定在i回中執行之W 2，=為第1回係並列執行F1，F1，第2回係執行F2,打之 ⑽構呀，硬體需要分別設置2個F1執行電路與F2執行電 路與圖13所示之結構比較，需要增大電路規模。 、如圖U所示’藉由將各回執行之F函數的組合全部設定 為171、F2，適用圖13所示之硬體，在各回中可始終同時執 120295.doc -70- 200821999 ，且縮小電路規模 行F1 F2，可實現不發生電路上之浪費 的小型裝置。 次圖u所示之結構係資料系列七4之情況，不過，其他之 :料系列數之情況，亦可藉由同樣之設定而有效安裝。如 貝料系歹J數d-8之情況’係在（回中設定4個？函數，不過， 係採用將該4俯函數每2個設定2個不同之F函數F1、_ r:: \

。亥h況之安裝結構係採用分別每2個設置F函數Η、F2， :可並列執行函數（F1、F1、F2、F2)的結構。藉由該 、口構王邛之回中，可並列地執行全部4個F函數，無須設 置無用電路來安裝。 1匕外，貧料系列數d==16之情況，將存在於丨回之8個卩函 數母:個设定F1、F2。進一步予以一般化，為資料系列數 d 4Χ^况下，各回中形成每X個利用F函數FI、F2之結構， 硬體安裝係形成分別χ個設定F函數F1、？2之結構時，因為 每回需要之FI、F2的數量相同，所以可恰當地執行，並可 提局安裳效率。 上述之處理例，係為了滿足擴散行列切換機構（dsm)， 而叹定適用2個線性變換行列之2個不同F函數之例，不 過，即使使用3種以上之線性變換行列設定3種以上之1?函 數之情況，可以說仍然相同。 圖14顯不有效安裝3種F函數用之配置例。圖14係資料系 列數d=6之擴充Feistel之類型2的構造例。該圖14所示之結 構，係設定成存在於1回之3個！^函數一定是逐一利用為 120295.doc -71 - 200821999 F1、F2、F3的結構。 藉由該結構，於硬體（H/W)安裝時，僅藉由分別逐一安 步 F1 > ν 〇 "' 、F3 ’可在各回中形成並列地執行F函數的結 構，而實現H/W地觀察無浪費之電路結構。 再者 > 料系列數d= 12之情況，係將存在於1回中之6個 F函數分別各設定2個F1、F2、F3。此外，資料系列數d=18 之情況，就設定於1回之9個！^函數，每3個設定F1、F2、 F3。將此等予以一般化，資料系列數d=6xi情況下，將設 疋於各回之F函數成為分別有ρ 1、F2、F3。亦即，形成 各回中不同之F均等地利用函數的結構。 藉由形成此種F函數之設定結構，可等數設定每回需要 之F1、F2、F3的數量，在硬體安裝中可設定恰當地利用之 電路，而可提高安裝效率。於軟體情況時，亦由於取得輸 入輸出值用之表的利用形態在各回中成為均一，因此並非 構成假設各種圖案之表，可設定按照1個利用形態之表而 儲存於記憶體中。 將上述各處理例進一步予以一般化時，可以說如下所 述。 (1)構成利用a種類之F函數的類型2之擴充Feistel構造 時’於資料系列數（分割數）d=2ax，其中，a為2以上之整 數，X為1以上之整數時，設定於1回内之狀個？函數，藉由 形成全種類之F函數均等地每X個設定的結構，可提高安裝 效率。

另外，上述F函數之設定中，藉由將輸入各資料系列之F 120295.doc -72- 200821999 函數的設定’形成滿足前述DSM條件之設定，可維持抵抗 性。 ’ (7-2· Feistel構造與擴充FeisteU4造中之零件的共用化） 如前述，即使對之前說明之Feistel構造、擴充以以^之 類型1、擴充Feistel之類型2的任何一個，藉由利用DSM機 構’仍具有提高對攻擊之抵抗性的優點。 亦即，將Feistel構造大致上分類時，係分類成： (a) 資料系列數（分割數）d=2之Feistel構造 (b) 貝料系列數（分割數）d- 2之任意數的擴充卜以㊁丨構造 再者，擴充Feistel構造分類成： (bl)各回中僅容許執行1個ρ函數之類型1， (b2)各回中容許並列執行數個ρ函數之類型2， 而可分類成此等（a)、（bl)、（b2)的3種。 此等3種Feistel構造之任何一個中，均可藉由適用dsm 機構來實現抵抗性提高。 為了適用DSM機構，需要安裝執行至少2個以上不同之 線性變換行列的不同之F函數，不過，藉由具有該不同之 數個F函數的安裝結構，可實現可選擇性執行上述數個不 同之Feistel構造（a)、（bl)、（b2)的裝置。就執行此種選擇 性處理的裝置結構說明如下。 決定執行滿足擴散行列切換機構（DSM)之線性變換行列 的數個不同之F函數，將此等各F函數中之輸入輸出資料的 資料尺寸設為mn位元。藉由適用此種！^函數，如圖15所示 之資料系列d=2之Feistel構造係執行2 mn位元之區塊密 120295.doc -73- 200821999 圖15所示之資料系列d=2之構造的各卩函數η、 F2 ’其輸入輸出資料尺寸係mn位元。該資料系列d=2之 ^心1構料行將2 _位元之明文變成2 mn位元之密文的 處理’或是其相反的解密處理，來執行2㈣位元之區塊密 碼0 此外，藉由利用該圖15所示之輸入輸出資料尺寸為mn 位元之F函數F1、F2，可構成滿足擴散行列切換機構 (DSM)之資料系列d=4之擴充構造。圖16上顯示該結 構。 圖16所不之貝料系列d=4之擴充Feistel構造的各F函數 FI、F2，其輸入輪出資料尺寸係则位元，且係照樣適用 圖15所示之F函數F1、F2者。該資料系列d=4之擴充Feistel 構造進行將4咖位元之明文變成4则位元之密文的處理， 或是其相反之解密處理，來執行4mn位元之區塊密碼。 再者，予以一般化成資料系列數d=x，其中，讀2以上 之整數時’可使用相同F函數執行結構來構築執行X則位 元之加禮、或解密處理的區塊密碼結構。 如僅使用輸入輸出位元為64位元之不同的F函數Η、 F2,可構成可選擇性執行實現DSM機構之輸入輸出i28位 兀區塊密碼處理，與256位元區塊密碼處理的裝置。 亦即’ F函數係安裝輸入輸出位元為64位元之不同的2個 F函數F1、F2’並控制此等之利用形態。如依據資料系列 數d=2之Feistel構造（圖15)執行密碼處理時，採用在各回中 120295.doc •74- 200821999 執行丄個各F函數F1、F2的結構。另外，依 ㈣之擴充麻1構造㈤6)執行密碼處理時，採用^數 中並列地執行各F函數F1、F2的結構。如此，實現= 裝2種F函數，可選擇性、 ^ 释陡執仃輸入輸出⑵位元區塊密碼盥 256位元區塊密碼的裝置。亦即，藉由使用相同F函數/而 改變連接方法，可執行不同位元數的區塊密碼，且可期待 藉由在S/W、H/W兩者中電路、代碼共有化等，以提高安 裝效率。

ϋ 圖17顯示具有此種結構之密碼處理裝置的結構例。圖p 所示之密碼處理裝置270包含：執行F函數Fi之第U函數 (F1)專用處理電路271，執行F函數F2之第2F函數（π)專用 處理電路272，控制電路273及輔助電路274。第ιρ函數 (F1)專用處理電路27丨與第2F函數（F2)專用處理電路272係 可並列地動作之結構。控制電路273進行對各處理部之資 料輸入輸出控制’並且執行Feistel構造選擇處理。辅助電 路274執行F函數以外之演算處理等。 控制電路273進行之Feistel構造選擇處理，係選擇是否 執行依據： (a)資料系列數（分割數）d=2之Feistel構造 (bl)為資料系列數（分割數）d ^ 2之任意數的擴充Feistel 構造’且在各回中僅容許執行1個F函數之類型1， (b2)為資料系列數（分割數2之任意數的擴充Feistel 構造，且在各回中容許並列執行數個F函數之類型2， 此等任何一個構造的密碼處理。另外，設定資訊如自外 120295.doc -75- 200821999 部輸入。或是，亦可為拉昭 一 马按"、、成為加岔或解密處理對象之資 料的位元長來選擇執行之處理形態的結構。控制電路273 ㈣擇’變更各F函數專用電路之適用順序’進行使按照 各Feistel構造之回函數執行的控制。 精由適用該結構，可適用第1F函數（Fi)專用處理電路 251與第2F函數(F2)專用處理電路252，進行適用各種 FeisUl構造之密碼處理，可執行加密處理或解密處理之處 理位70不同的各種位元對應之密碼處理。 此外，圖17中係顯示具有2個F函數之例，不過，不限於 使用2個F函數之例，即使為使用任意數量之卩函數的結 構，仍可期待同樣之結果。如之前參照圖14而說明之擴充

Feistel構造，係構成適用3個不同之ρ函數η、ρ2、，滿 足擴散行列切換機構（DSM)之資料系列數d=6的擴充Feistel 構造。適用與此相同3種F函數Fi、F2、F3之f函數，可構 築具有圖18所示之資料系列d=2之Feistel構造的密碼處理 結構。即使該資料系列d=2之結構中，各行列F1、F2、F3 仍係以滿足DSM機構之設定來配置。 圖19顯示執行此種3種F函數FI、F2、F3之密碼處理裝置 的結構例。圖19所示之密碼處理裝置280包含··執行F函數 F1之第1F函數（F1)專用處理電路281，執行F函數F2之第2F 函數（F2)專用處理電路282，執行F函數F3之第3F函數（F3) 專用處理電路283，控制電路284及輔助電路285。第1F函 數（F1)專用處理電路281、第2F函數（F2)專用處理電路282 與第3F函數（F3)專用處理電路283係可並列地動作之結 120295.doc -76- 200821999 構。控制電路284進行對各處理部之資料輸入輸出控制， 並且執行Feistel構造選擇處理。辅助電路285執行F函數以 外之演算處理等。 控制電路284進行之Feistel構造選擇處理，係選擇是否 執行依據： 0)資料系列數（分割數）d=2之Feistel構造 (bl)為資料系列數（分割數沁-2之任意數的擴充 構造’且在各回中僅容許執行1個F函數之類型1， (b2)為資料系列數（分割數）d-2之任意數的擴充Feistel 構造’且在各回中容許並列執行數個F函數之類型2， 此等任何一個構造的密碼處理。另外，設定資訊如自外 部輸入。控制電路284依設定，變更各卩函數專用電路之適 用順序進行使按照各Feistel構造之回函數執行的控制。 藉由適用該結構，可適用第1F函數（F1)專用處理電路 281〜第3F函數（F3)專用處理電路283，進行適用各種 Feistel構造之岔碼處理，可執行加密處理或解密處理之處 理位το不同的各種位元對應之密碼處理。另外，亦可為具 有4個以上F函數執行部之結構。 如上述’決定執行滿足擴散行列切換機構（DSM)之線性 變換行列的數個不同F函數，安裝此等各F函數，藉由變更 適用F函數之處理順序，實現選擇性執行依據·· 資料系列數（分割數）d=2之Feistel構造 (bl)為資料系列數（分割數）d-2之任意數的擴充Feistel 構造’且在各回中僅容許執行1個F函數之類型1， 120295.doc •77- 200821999 (b2)為資料系列數（分割數）d - 2之任意數的擴充 構造，且在各回中容許並列執行數個F函數之類型2， 此等任何一個構造之密碼處理的結構，以實現可變更加 密處理或解密處理中之處理位元數的裝置。 如構成a種類^為2以上之整數）之F函數，執行依據上述3 種Fe1Stel構造之密碼處理，且藉由滿足擴散行列切換機構 (DSM)之處理結構，可進行抵抗性高之密碼處理。 f [8 _本發明之密碼處理及密碼演算法構築處理之總結] 最後’就上述本發明之密碼處理及密碼演算法構築作總 結說明。 本發明之密碼處理裝置如參照圖1、圖2之說明，包含密 碼處理部，其係執行複數回重複執行包含非線性變換處理 及線性變換處理之資料變換處理的§1>型F函數之“ΜΗ型 共用鍵區塊密碼處理。再者，如參照圖5以下之說明，密 碼處理部具有執行適用資料系列數：d為d - 2之整數的擴 充FeiStel構造之密碼處理的結構，且在各回之F函數中執 行的線性變換處理中，選擇性適用至少2個以上之數個不 同行列的結構。 此等2個以上之數個不同行列以實現擴散行列切換機構 (DSM · Diffusion Switching Mechanism)之方式設定，夢由 DSM來實現使對差分攻擊及線性攻擊之抵抗性提高的密碼 處理。並為了藉由該DSM實現抵抗性提高，而進行按照特 定條件之行列的選擇及配置。 亦即，適用於F函數中執行之線性變換處理的數個行 120295.doc -78- 200821999 列，係選擇滿足自依據輸入擴充Feistel構造之各資料系， 的F函數中包含之線性變換行列的資料系列對應之最^ 歧數中選擇的全部資料系列中最小分歧數為預定值以上 條件的數個不同行列，此蓉索 个丨“丁夕】以數個不同之仃列重複配置於輸 擴充Felstel構造之各資料系列的ρ函數中。

Ο 再者，具體而言，密碼處理部中利用之數個不同之行 歹J、係滿足自依據輸入擴充Feistel構造之各資料系列S⑴ 的連π k個(其中，以上之整數)F函數中包含之線性變 換行列而算出的資料系列對應之最小分歧數[I、⑴)]中 選擇的全部資料系列中最小分歧數[BkD]為3以上之條件的 數個不同行列。 / 或疋係滿足自依據輸入擴充Feistel構造之各資料系列 :⑴的連、續2個F函數中包含之線性變換行列而|出的資料 系列對應之最小分歧數[B2L(s(⑼中選擇的全部資料系列 中最小分歧數[B，]為3以上之條件的數個不同行列。 本發明之密碼處理裝置的密碼處理部，包含將此等數個 不同之行列’假設η個（其中，,為2以上之整數）不同之行列 為Μ。、M!、.. Μ。·!時，將此等依序重複配置於輸入擴充 Feistd構造之各資料系列的F函數中之結構。具體之擴充 Feiste丨構造之例，如參照圖8及圖1〇而說明之在丨回中僅執 行1個F函數之類型丨的擴充Feistel構造，及參照圖9及圖n 而說明之在i回中並列地執行數個F函數的擴充以以61構 造〇 另外，本發明係亦包含執行適用此種擴充Feistei構造之 120295.doc -79- 200821999 山馬處理的&、碼處理裝置及方法與執行密碼處理之電腦程 ^，還包含構築執行適用上述擴造之密碼處理 的孩’處理演算法之資訊處理裝置、方法與電腦程式 者0 構築密碼處理演算法之音 _ 卜 ，只开沄之貝訊處理裝置，如可適用一般之 PC等的資訊處理裝置，且且古 — 衣罝且，、有可執仃以下之處理步驟 制部。亦即為：

U 打列決定步驟，其係在適用資料系列數：4 d-2之整 、牦充Feistel構造之岔碼處理演算法的結構中，決定適 用於在各回之F函數中執行的線性變換處理之至少2個以上 之數個不同行列；及 —行列設定步驟，其係將行列決定步财決定之數個不同

行列，重複配置於輸入擴充Feistel構造之各資料系列的F 函數中。 上述订列決定步驟係作為執行就2個以上數個不同之行 列决定滿足自依據輸入擴充構造之各資料系列的 F函數中包含之線性變換行列的資料系列對應之最小分歧 數中選擇的全部資料系列中最小分歧數為預定值以上之條 件的數個不同行列’作為適用行列之處理的步驟來執行。 適用藉由此種處理演算法所設定之擴充Feistel構造的密 碼處理中’實現擴散行列切換機構（DSM : Diffusi〇n Switching Mechanism)，並藉由DSM，實現使對差分攻擊 及線性攻擊之抵抗性提高的密碼處理。 [9 ·密碼處理裝置之結構例] 120295.doc 200821999 最後’圖20顯不作為執行按照上述實施例之密碼處理的 密碼處理裝置之1C模組_的結構例。上述處理如可在 PC 一1°卡、碩寫器及其他各種資訊處理裝置中執行，圖20 所不之1C模組300可構成於此等各種機器中。 圖2〇所示之CPU(中央處理單邱qi，係執行密碼處理之 ]。及、、、σ束資料之傳送接收控制、各結構部間之資料傳 送控制及其他各種程式的處理器。記憶體302包含··储存 ⑽301執行之程式或演算參數等之固定資料的ROM(唯讀 記憶體及作為在CPU 3〇1之處理中執行的程式，及在程 式處理中適當變化之參數的儲存區域、工作區域而使用之 Ram(隨機存取記憶體）等。此外，記憶體3〇2可用作密碼 處理時需要之鍵資料、密碼處理中適用之變換表（置換表） 及適用於變換行列之資料等的儲存區域。另外，資料儲存 區域宜作為具有承受干預構造的記憶體而構成。 密碼處理部303執行如按照上述擴充Feistel型之共用鍵 區塊密碼處理演算法的密碼處理及解密處理。另外，此處 係顯示將密碼處理機構作為個別模組之例，不過，亦可構 成不设置此種獨立之密碼處理模組，如將密碼處理程式儲 存於ROM中，CPU 301讀取R〇M儲存程式來執行。 亂數產生器304執行密碼處理時產生必要之鍵等中，必 要之亂數的產生處理。 傳送接收部305係執行與外部之資料通信的資料通信處 理ap ’如讀寫器專執行與1C模組之資料通信，並執行在1C 模組内產生之密文的輸出，或是來自外部之讀寫器等的機 120295.doc -81 - 200821999 器之資料輸入等。 该IC模組3 0 0如按知上述實施例’執行資料系列數d為 d^2之整數的擴充Feistel型密碼處理。擴充Feistei構造中 之F函數的線性變換行列，如以按照上述實施例之形態， 設定不同之線性變換行列，實現擴散行列切換機構 (DSM : Diffusion Switching Mechanism)，可使對差分攻擊 及線性攻擊之抵抗性提高。 f

U 以上，係參照特定之實施例，就本發明詳細作說明。但 是，當然在不脫離本發明之要旨的範圍内，熟悉本技術之 業者可形成該實施例之修正及代用。亦即，係以例示之形 態來揭示本發明’而不應作限定性之解釋。為了判斷本發 明之要旨，應參酌申請專利範圍項。 另卜《兒月曰中δ兒明之一連串處理’可藉由硬體、軟體 或兩者之複合結構來執行。執行軟體之處理時，可將記錄 2順：之程式’安裝於***有專用硬體之電腦内的記憶 執彳τ各種處理之通用電腦中安裝程式 來執行。 記情己錄於作為記錄媒體之硬碟或函（唯讀 二二 程式可暫時或永久性儲存(記錄)於軟式碟 數位光碟广(唯。“己憶光碟)、M0(光磁)碟、DVD(多樣化 中。此種可/碟、+導體記憶體等之可移式記錄媒體 另外f 錄㈣可作為所謂封裝軟體來提供。 乃夕卜，程式除了白、 外，還可自、山 述之可移式記錄媒體安裝於電腦之 載端無線傳送至電腦，或經由LAN(區域網 120295.doc -82- 200821999 路）、/、網際網路等網路，以有線傳送至電·，電腦接收如 此达達之知式，而安裳於内藏之硬碟等的記錄媒體中。 另卜》己載於β兒明書之各種處理，除了按照記載而時間 序列地執行外，亦可依執行處理之裝置的處理能力或需要 並列地或個別地執行。此外，本說明書中所謂系統，係數 個裝置的邏輯性章人纟士接 杲“口構，而不限定於各構成裝置在同一 個框體内。

i) [產業上之可利用性] 如上述抹用本發明一種實施例之結構時，在重複複數 f包含非線性變換部及線性變換部之SPN型之㈣數而執 订的Femel型共用鍵區塊密碼處理中，在擴充具有2個資 料系列之Feistel構造的Feistel構造，亦即具有3個、伟等2 個以上任意資料系列之擴充型的以㈤構造中，藉由設定 適用數個不同線性變換行列之回函數部，來實現擴散行列 切換機構(DSM)，可執行對線性分析及差分分析抵抗性高 之共用鍵區塊密碼演算法的構築及密碼處理。 知用本u —種實施例之結構時’在執行適用資料系列 數：d為人G2之整數的擴充Feistel構造之密碼處理之結構 中包3在各回之F函數中執行之線性變換處理中，選擇 性適用至少2個以上之數個不同行列的結構，藉由設定2個 以上=數個不同行列’係滿^自依據輸人擴充心⑷構造 各貝料系列的F函數中包含之線性變換行列的資料系列 制之最小分歧數中選擇的全部資料系列中最小分歧數為 預叱值以上之條件的數個不同4亍列’纟實現擴散行列切換 120295.doc -83- 200821999 機構（刪），可執行對線性分析及差分分析抵抗性高之共 用鍵區塊密碼演算法的構築及密碼處理。 、 再者，制本發明—種實施例之結構時，在執行適用資 料系列^ d=2ax之擴充Feistel構造㈣1)的密碼處理之結 構中，前述擴充Feistel構造係利用執行數個不同行列之不 同線性變換處理的a⑽2)種類之F函數，由於係在i回中， 均等地母X個執行全種類（a種類）函數的結構，因此，實 現並無設置無用電路之小型的密碼處理裝置。 再者’採用本發明__種實施例之結構時，藉由構成執行 數個不同行列之不同線性變換處理的數個F函數執行部， 作為按照設定而變更數個F函數執行部之利用順序的社 ，’來實現可選擇性執行下述⑷、（Μ)、⑽之任何_個° 密碼處理的密碼處理裝置： (a)藉由資料系列數d=2之Feistel構造的密碼處理，或 (bl)為資料系列數dg2之任意數的擴充卜以^構造，且 各回中僅容許執行1個F函數之密碼處理，或 (b2)為資料系列數之任意數的擴充卜出61構造，且 各回中容許並列執行數個F函數之密碼處理。 【圖式簡單說明】 圖1係顯示具有Feistel構造之代表性的共用鍵區塊密碼 之結構圖。 " 圖2(a)、（b)係回函數部設定之？函數的結構之說明圖。 圖3係利用2個不同之線性變換行列的Feistel型密碼演算 法之說明圖。 120295.doc •84- 200821999 圖4係利用3個不同之線性變換行列的Feistel型密碼演算 法之說明圖。 圖5係擴充Feistel構造之定義的說明圖。 圖6係顯示具有7個資料系列（d：=7)之擴充卜以61構造例之 圖。 圖7係擴充Feistel構造之各結構部及各結構部之輸入輸 出資料的定義之說明圖。 圖8係對擴充Feistel構造之類型1適用DSM的說明圖。 圖9係對擴充Feistel構造之類型2適用DSM的說明圖。 圖10係對擴充Feistel構造之類型1適用DSM的說明圖。 圖11係對擴充Feistel構造之類型2適用DSM的說明圖。 圖12係提高擴充Feistel構造之安裝效率的結構之說明 圖。 圖13係提高擴充Feistel構造之安裝效率的硬體結構例之 說明圖。 圖14係將3種F函數作為有效安裝用之配置例的說明圖。 圖1 5係顯不作為^料糸列d=2之Feistel構造的2 mn位元 之區塊密碼結構圖。 圖16係顯示滿足擴散行列切換機構（DS]VI)之資料系列數 d=4的擴充Feistel構造圖。 圖17係可執行不同位元數之區塊密碼的電路共有結構之 說明圖。 圖1 8係適用3種F函數F1、F2、F3之F函數的資料系列 d=2之Feistel構造的說明圖。 120295.doc -85- 200821999 圖19係執行3種F函數FI、F2、F3之密碼處理裝置的結構 例之說明圖。 圖20係顯示作為本發明之執行密碼處理的密碼處理裝置 之1C模組的結構例圖。 【主要元件符號說明】 101 PL(Plain-Left) 102 PR(Plain-Right) 103 回鍵Ki 104 邏輯異或部 120 、 202 、 21卜 212 F函數 121 S盒 122 線性變換部 201 > 203 互斥或（XOR)演算部 250 、 270 、 280 密碼處理裝置 251 、 27卜 281 (F1)專用處理電路 252 、 272 ' 282 (F2)專用處理電路 253 、 273 、 284 控制電路 254 、 274 、 285 輔助電路 283 (F3)專用處理電路 300 1C模組 301 CPU 302 記憶體 303 密碼處理部 304 亂數產生器 305 傳送接收部 120295.doc -86-

Claims (1)

1. 200821999 申請專利範圍： 1. 一種密碼處理裝置，其特徵為： 包含密碼處理部，其係執行Feistel型共用鍵區塊密螞 處理，該處理係將執行包含非線性變換處理及線性變換 處理之資料變換處理的SP型F函數重複複數回； 、 别述密碼處理部包含執行適用資料系列數·· d為2 之正數的擴充Feistel構造之密碼處理的結構，且係在各 回之F函數中執行的線性變換處理中，選擇性適用至少2 個以上之數個不同行列的結構； 前述2個以上之數個不同行列’係滿足自依據輸入擴 充Fe瞻i構造之各資料系列的F函數中包含之線性變換行 列的資㈣列對應之最小分歧數中選擇的全部資料系列 中最小分歧數為預定值以上之條件的數個不同行列； 且包含將則it數個不同；^亍列重#配置於輸入擴充 Feistel構造之各資料系列的F函數之結構。 、 2. 3. 如請求項1之密碼處理裝置，其中前述密碼處理部中利 用之前述數個不同行列，係滿足自依據輸人擴充Feistel 構造之各資料系列s⑴的連續其中，以2以上之整 數）F函數中包含之線性轡拖） > 支換仃列而算出的資料系列對應 之最小分歧數[BkD(S⑴)]中選擇的全部資料系列中最小分 歧數[BkD]為3以上之條件的數個不同行列。 如請求項1之密碼處理裝置’其中前述密碼處理部中利 用之前述數個不同行列，係滿足自依據輸人擴充 構造之各資料系列s⑴的連'續2個？聽中包含之線性變 120295.doc 200821999 換行列而算出的f料系列對應之最小分歧數[B2D(S⑴)]中 選擇的全部f料系列中最小分歧數為3以上之條件 的數個不同行列。 4. 如請之密竭處理裝置，其中前述密碼處理部中利 用：則述數個不同行列’係滿足自依據輸入擴充Feistel 構&之各貧料系列s(i)的連續2個F函數中包含之線性變 換行列而算出的資料系列對應之最小分歧數[B2L(S⑴)]中 選擇的全部資料系列中最小分歧數[B2L]為3以上之條件 的數個不同行列。 5. 如請求項丨之密碼處理裝置，其中前述密碼處理部於前 述數個不同行列作為η個（其中，η為2以上之整數）不同之 行列 M〇、Ml、..My 時， 包含將此等不同之行列Mq、Μι、.·Μηΐ依序重複配置 於輸入擴充Feistel構造之各資料系列的ρ函數之結構。 6. 如請求項1至5中任一項之密碼處理裝置，其中前述密碼 處理部係執行適用在1回中僅執行1個F函數之擴充Feistel 構造的密碼處理之結構。 7. 如請求項丨至5中任一項之密碼處理裝置，其中前述密碼 處理部係執行適用在丨回中並列執行數個F函數之擴充 Feistel構造的密碼處理之結構。 8·如請求項1至5中任一項之密碼處理裝置，其中前述密碼 處理部在a - 2之任意整數，1之任意整數時，係執行 適用資料系列數：d=2ax之擴充Feistel構造的密碼處理之 結構’前述擴充Feistel構造係利用執行前述數個不同行 120295.doc 200821999 列之不同線性變換處理的a種類之F函數； 且係在1回中，均等地每x個執行全種類（a種類）之F函 數的結構。 9·如明求項8之密碼處理裝置，其中前述密碼處理部之結 構具備：F函數執行部，其係執行在1回中並列執行之狀 個F函數，及控制部，其係執行對前述？函數執行部之資 料輸入輸出控制。 10.如請求項山中任—項之密碼處理裝置，其中前述密碼 處理部之結構具備：數個F函數執行部，其係執行前述 數個不同行列之不同的線性變換處理；及控制部，其係 按照設定變更前述數個F函數執行部之利用順序； 前述控制部選擇性執行下述（a)、（bl)、（b2)之任何一 個密碼處理： (a)藉由資料系列數和2之Feistel構造的密碼處理；或 (bl)為資料系列數2之任意數的擴充Feistel構造； j 且各回中僅容許執行1個F函數之密碼處理；或 (b2)為資料系列數d - 2之任意數的擴充Feisty構造， 且各回中谷許並列執行數個F函數之密碼處理。 11·如請求項10之密碼處理裝置，其中前述控制部之結構為 按照加密或解密處理對象之資料的位元長，來選擇執行 之處理形態。 12.種岔碼處理方法，其特徵為：係在密碼處理裝置中執 行密碼處理； 且搶碼處理部中包含密碼處理步驟，其係執行將執行 120295.doc 200821999 包含非線性變換處理及線性變換處理 …數重複複數回〜丨型共用鍵區塊；碼: 理； /前《碼處理步驟包含演算步驟，其係執行適用資料 系列數· d為d^2之整數的擴充Feistel構造之密碼處理的 步驟，且係在各回之！?^^中執行的線性變換處理中， 執行選擇性適用至少2個以上之數個不同行列的演算； 前述演算步驟中適用之數個不同行列，係滿足自依據 輸入擴充Feistel構造之各資料系列的中包含之線性 變換行列的資料系列對應之最小分歧數中選擇的全部資 料系列中最小分歧數為預定值以上之條件的數個不同行 列； 且則述演算步驟係在輸入擴充Feistey·造之各資料系 列的F函數中，執行依據前述數個不同行列之線性變換 〉貝鼻的步驟。 13·如請求項12之密碼處理方法，其中前述數個不同行列， 係滿足自依據輸入擴充Feistel構造之各資料系列s⑴的連 ak個（其中，]^為2以上之整數片函數中包含之線性變換 行列而算出的資料系列對應之最小分歧數[Β/(δ⑴)]中選 擇的全部資料系列中最小分歧數[BkD]為3以上之條件的 數個不同行列。 14.如請求項12之密碼處理方法，其中前述數個不同行列， 係滿足自依據輸入擴充Feistel構造之各資料系列畋〇的連 續2個F函數中包含之線性變換行列而算出的資料系列對 120295.doc 200821999 應之最小分歧數[b2d(s⑴)]中選擇的全部資料系列中最 刀歧數[B2 ]為3以上之條件的數個不同行列。 15.如凊求項12之密碼處理方法，其中前述數個不同行列， 係滿足自依據輸入擴充Feistel構造之各資料系列⑹的連 續2個F函數中包含之線性變換行列而算出的資料系列對 應之最小分歧數中選擇的全部資料系列中最小 刀歧數[Β2 ]為3以上之條件的數個不同行列。 16. 如請求項12之密碼處理方法，其中將前述數個不同行列 作為η個（其中，11為2以上之整數）不同之行列、 Μ1、·· Μη」時， 觔述演算步驟係在輸入擴充Feistel構造之各資料系列 的F函數中，依序重複執行此等不同之行列Μ。、Μι、·. Μ η -1的步驟。 17·如請求項12至16中任一項之密碼處理方法，其中前述密 碼處理步驟係執行適用在丨回中僅執行丨個F函數之擴充 Feistel構造的密碼處理之步驟。 18·如請求項12至16中任一項之密碼處理方法，其中前述密 碼處理步驟係執行適用在丨回中並列執行數個F函數之擴 充Feistel構造的密碼處理之步驟。 19·如請求項12至16中任一項之密碼處理方法，其中前述密 碼處理步驟在a-2之任意整數，丨之任意整數時，係 執行適用資料系列數：d=2ax之擴充Feistel構造的密碼處 理之步驟，前述擴充Feistel構造係利用執行前述數個不 同行列之不同線性變換處理的a種類之F函數； 120295.doc 200821999 且在1回中 數0 均等地每X個執行 全種類（a種類）之F函

   或解密處理對象之資料的位元長，來選擇執行之處理形 態。 處理方法，其中前述密碼處理步驟係 ;;執订在1回中並列地執行之α舒函數❹函數執行 並按照對前述F函數執行部執行資料輪入輸出控制 之控制部的控制’來執行密碼處理之步驟。 21·==12至16中任—項之密碼處理方法，其中前述密 :處理步驟藉由：數個F函數執行部，其係執行前述數 個不同行列之不同的線性變換處理；及控制部，皇係按 照設定變更前述數個F函數執行部之利用順序；執行密 碼處理，並藉由前述控制部之控制，選擇性執行下二 (a)、（bl)、（b2)之任何一個密碼處理： ⑷藉由資料系列數d=2之Feistel構造的密碼處理；或 (M)為資料系列數Q 2之任意數的擴充_構造； 且各回中僅容許執行1個F函數之密碼處理；或 ㈨）為資料系列數g 2之任意數的擴充阳咖構造， 且各回中容許並列執行數個F函數之密碼處理。 22·如請求項21之密碼處理方法，其中前述控制部按照加密 23 ·種密碼處理演算法構築方法，其特徵為：在資訊處理 裝置中構築密碼處理演算法，且包含： 仃列決定步驟，其係資訊處理裝置中之控制部在適用 資料系列數：d為d^2之整數的擴充Feistel構造之密碼處 120295.doc 200821999 理演算法的結構中，沐中、态田认 τ决疋適用於在各回之f函數中執行 的線性變換處理之至少2個以上之數個不同行列；及 行列設定步驟，：a：孫於、+、# ”糸則述控制口[5將别述行列決定步驟 中決定之數個不同行列，* ^ 』仃^，重稷配置於輸入擴充Feiste 造之各資料系列的F函數中； 則述订列决疋步驟，係執行決定將前述2個以上之數 個不同行列，係滿^自依據輸人擴充Feistei構造 料系列㈣數中包含之線性變換行列的資料系列對: 之最丨刀歧數中選擇的全部資料系列中最小分歧數為； 定值以上之條件的數個不 ^ 丁幻作為適用仃列之處理 的步驟。 24· —種記錄電腦程式之今如^_ 理…—1:己錄媒體’該電腦程式係於密碼處 理裝置執订雄、碼處理； 且包含密碼處理步驟，盆糸 A 其係使迸碼處理部執行Feistel 型共用鍵區塊密碼處理，嗲卢 ▲ 忒處理係重複複數回執行包含 非線性變換處理及線性變 纥換處理之資料變換處理的SP型 F函數； 前述密碼處理步驟句冬、、舍曾止_ 李列數.步驟’其係執行適用資料 牛驟日^ 數的擴充^则構造之密碼處理的 步驟’且係在各回之F函盤 μ ^ ^ 執仃的線性變換處理中， 執仃選擇性適用至少2個 ^ 上之數個不同行列的演算； 則述演算步驟中通用夕叙 τ通用之數個不同行列，係滿足自依攄 輸入擴充Feistei構造之各 兩疋自依據 僻k炙谷貝枓糸列的F函數中 變換行列的資料系列對庫 、、友 對應之最小分歧數中選擇的全部資 120295.doc 200821999 料系列中最小分歧數為預定值以上之條件的數個不同行 列； 且前述演算步驟係在輸入擴充Feistel構造之各資料系 列的F函數中，執行依據前述數個不同行列之線性變換 演舁的步驟。 Λ 25. -種記錄電腦程式之記錄媒體，該電腦程式係於資訊處 理裝置構築密碼處理演算法，且包含·· /亍歹i决疋步驟，其係使資訊處理裝置中之控制部在適 用貝料系列數· d為d-2之整數的擴充Feistel構造之密碼 處理演算法的結構中’決定適用於在各回之F函數中執 行的線性變換處理之至少2個以上之數個不同行列，·及 行列設定步驟，其係使前述控制部將前述行列決定步 驟中決定之數個不同行列，重複配置於輸人擴充以㈣ 構造之各資料系列的F函數中，· 前述行列決定步驟，係執行決定將前述2個以上之數 個不同行列’係滿足自依據輪入擴充Feistel構造之各資 料系列的F函數中包含之線性變換行列的資料系列對應 之最小分歧數中選擇的全部資料系列中最小分歧數為預 定值以上之條件的數個不同行列，作為適用行列之處理 的步驟。 120295.doc