WO1997009705A1

WO1997009705A1 - Appareil de conversion de donnees et procede de conversion de donnees

Info

Publication number: WO1997009705A1
Application number: PCT/JP1996/002154
Authority: WO
Inventors: Mitsuru Matsui; Toshio Tokita
Original assignee: Mitsubishi Denki Kabushiki Kaisha
Priority date: 1995-09-05
Filing date: 1996-07-31
Publication date: 1997-03-13
Also published as: EP0790595B1; US6201869B1; US20010000708A1; DK0790595T3; AU693719B2; CN1164912A; KR100250803B1; DE69635651T2; CN100435505C; CN1136692C; NO972052L; KR970707525A; NO324428B1; CN1496048A; DE69635651D1; AU6629396A; NO972052D0; EP0790595A1; EP0790595A4; ES2255712T3

Description

データ変換装置及びデータ変換方法技術分野

本発明は、情報通信等においてデジタル情報を保護する入力デ一夕の暗号化と復号化及びデータ拡散等のためのデータ変換装置とデータ変換方法に関するものである。背景技術

従来の暗号化のためのデータ変換方法としては、たとえば宮口らによる F E A L— 8ァルゴリズム（宮口、白石、清水「 F E A L— 8暗号ァルゴリズム」 NT T研究実用化報告第 39巻第 4 / 5号， 1988 ) があつに。

第 29図は、その FEAL— 8暗号アルゴリズムの一部を示している。図において、 1001及び 1002は 2系統の入力データ、 1003 及び 1004は 2系統の出力デ一夕、 1005， 1006, 1007， 1008は中間データである。また、 101 1， 1012， 1013, 1 014はそれぞれ第 1、第 2、第 3、第 4の鍵パラメ一夕、 1021， 1022, 1023, 1024は各段の副変換処理部であり、その構成要素として 1031, 1032, 1033, 1034の非線形変換回路と 1041, 1042， 1043， 1044の排他的論理和回路がある _c 次に、動作について説明する。まず、入力された 2系統の入力データ 1001， 1002は、第 1段の副変換処理部 1021に入力され、この結果新たな 2系統の中間データ 1005， 1006に変換される。続いてこれら変換後の中間データは、第 2段の副変換処理部 1022に入力され、この結果新たな 2系統の中間データ 1 0 0 7 , 1 0 0 8に変換される。この操作は合計 8回行われ、第 8段の副変換処理後の 2系統のデータ力最終の出力データ 1 0 0 3， 1 0 0 4として出力される。

上記副変換処理部の動作を、第 1段の副変換処理部 1 0 2 1を例に説明する。

副変換処理部 1 0 2 1は、 2系統の入力データ 1 0 0 1， 1 0 0 2を入力し 2系統の中間データ 1 0 0 5， 1 0 0 6を出力する。第 2の入力データ 1 0 0 2は、上記文献の研究実用化報告に詳述されているように、非線形変換回路 1 0 3 1内で、バイト単位に分割され、鍵パラメータと排他的論理和演算が行われ、続いて算術加算が繰り返され、最後に分割されたデータが融合されるという非線形変換がされている。この変換後のデータは、第 1の入力データ 1 0 0 1と排他的論理和演算されて第 1 段の変換結果が得られ、第 2の中間デ一夕 1 0 0 6として出力される。また、第 2の入力データ 1 0 0 2は、そのまま第 1の中間データ 1 0 0 5として出力される。

第 2段の副変換処理部 1 0 2 2では、上述と同様なプロセスで第 2段目の中間デ一タカ得られ、以降、同様にこの例では、合計 8段の処理をして出力データ 1 0 0 3と 1 0 0 4力最終結果として得られる。

従来のデータ変換装置は、以上のように構成されており、 1段の副変換処理に含まれる非線形変換が完了した後、データを出力して、次の段の副変換処理のための入力とできる構成となっていた。即ち、各副変換処理は順次処理となり、処理が遅くなるという課題があつた。

本発明は、上記の課題を解消するためになされたもので、複数の副変換処理を並列で行えるように構成して、暗号化 ·復号化及びデータ拡散等のデータ変換処理の高速化を目的とする。発明の開示

本発明に係るデ一夕変換装置は、任意の 2つの A入力データと B入力デ一夕に対し、この A入力デ一夕を第 1の鍵パラメータで第 1の非線形変換をし、この第 1の非線形変換された出力デ一夕と B入力データとの排他的論理和を B中間データとして出力し、上記 B入力データをそのまま A中間データとして出力する構成と、上記 A中間デ一夕を第 2の鍵パラメ一夕で第 2の非線形変換をし、この第 2の非線形変換された出力デ一夕と B中間デ一夕との排他的論理和を次の B中間デ一夕として出力し、上記 B中間データをそのまま次の A中間データとして出力する構成を備え、上記の構成を縦続接続して、最終の A中間データと B中間デ一夕を変換後の出力データとする。

また更に、基本構成において、第 1の非線形変換の入力側から第 2の非線形変換の入力側までに存在する第 1の非線形変換回路と排他的論理和回路を第 1の副変換処理部とし、第 2の非線形変換の入力側から次の第 1の非線形変換の入力側までに存在する第 2の非線形変換回路と排他的論理和回路を第 2の副変換処理部とするか、或いは、第 1の非線形変換の出力側から第 2の非線形変換の出力側までに存在する排他的論理和回路と第 2の非線形変換回路を第 1の副変換処理部とし、第 2の非線形変換の出力側から次の第 1の非線形変換の出力側までに存在する排他的論理和回路と第 1の非線形変換回路を第 2の副変換処理部とし、これらの第 1の副変換処理部と、第 2の副変換処理部とを交互に必要段数接続し、最終段は第 1又は第 2いずれかの副変換処理部から出力される A中間データと B中間デ一夕を変換後の出力データとする。

また、上記基本構成に加えて更に、各副変換処理部中の非線形変換回路として、基本構成のデータ変換装置の構成を入れ子構造として用いる。本発明に係るデータ変換方法は、任意の 2つの A入力データと B入力データに対し、この B入力データをそのまま第 1の A中間データとして出力する第 1ステップと、 A入力データを第 1の鍵パラメータで非線形変換し、この非線形変換後の出力データと B入力デ一夕との排他的論理和をとり第 1の B中間データとして出力する第 2ステップと、第 1の B 中間デ一夕を入力し、そのまま第 2の A中間デ一夕として出力する第 3 ステップと、第 1の A中間デ一夕を入力して第 2の鍵ノラメ一タで非線形変換し、この非線形変換後の出力データと、第 1の B中間データとの排他的論理和をとり、第 2の B中間デ一夕として出力する第 4ステップとを備え、これら第 1から第 4ステップを繰り返し、最後は第 2又は第 4ステップで終えるようにし、最終の A中間データと B中間データを変換デ一夕とする。

又は非線形変換と排他的論理和の演算順序を変え、上記方法と等価なステップを備える。

また更に、基本構成に加えて、第 1の非線形変換の入力側から第 2の非線形変換の入力側までに存在する第 1の非線形変換回路と排他的論理和回路を第 1の副変換処理部とし、第 2の非線形変換の入力側から次の第 1の非線形変換の入力側までに存在する第 2の非線形変換回路と排他的論理和回路を第 2の副変換処理部とするか、又は第 1の非線形変換の出力側から第 2の非線形変換の出力側までに存在する排他的論理和回路と第 2の非線形変換回路を第 1の副変換処理部とし、第 2の非線形変換の出力側から次の第 1の非線形変換の出力側までに存在する排他的論理和回路と第 1の非線形変換回路を第 2の副変換処理部とし、第 1の副変換処理部と、第 2の副変換処理部とを交互に必要段数接続し、最初の第 1の副変換処理部の入力側にデータ選択部を付加し、また、最後の第 1 と第 2のいずれかの副変換処理部の出力側にデータ保持部を付加し、最初に任意の 2つの A入力データと B入力デ一タを上記データ選択部で選択入力し、選択入力が終わると次回以降は、上記データ保持部の出力を選択入力するよう帰還接続をして変換処理をし、最終回は第 1又は第 2 I、ずれかの副変換処理部から出力されてデータ保持部に保持されて出力される A中間データと B中間データを変換後の出力データとする。

また更に、基本構成に加えて、任意の 2つの A入力データと B入力データの桁数を同じとし、また、第 1の非線形変換の入力側から第 2の非線形変換の入力側までに存在する第 1の非線形変換回路と排他的論理和回路か又は第 2の非線形変換の出力側から次の第 1の非線形変換の出力側までに存在する第 2の非線形変換回路と排他的論理和回路を副変換処理部とし、副変換処理部を必要段数接続し、最初の副変換処理部の A, B各入力側にデータ選択部を付加し、また、最後の副変換処理部の A， B各出力側にデータ保持部を付加し、最初に A入力デ一夕と B入力デ一夕を上記データ選択部で選択入力し、選択入力が終わると次回以降は、データ保持部の出力を選択入力するよう帰還接続をして変換処理をし、最終回はデータ保持部から出力される A中間データと B中間データを変換後の出力とする。

また更に、第 1又は第 2の非線形変換に際しては、その副変換処理部への A入力デ一夕を任意の桁数で分けて A 1入力データと A 2入力デ一夕とし、また、鍵パラメータも任意の桁数で分けて第 1の分割鍵パラメータないし第 nの分割鍵パラメータとし、 A入力データを分けた A 1 入力データを第 1の分割鍵パラメータで内部非線形変換し、内部非線形変換された出力データと A 2入力データとの排他的論理和を第 1の A 2 内部中間データとして出力し、 A 2入力データをそのまま第 1の A 1内部中間データとして出力する第 1の内部副変換処理部と、第 1の内部副変換処理部の第 1の A 1内部中間データを A 1入力データとして第 2の分割鍵パラメータで内部非線形変換し、内部非線形変換された出力デ一夕と第 1の A 2内部中間データを A 2入力データとして A 2入力データとの排他的論理和を第 2の A 2内部中間データとして出力し、第 1の A 2内部中間データをそのまま第 2の A 1内部中間データとして出力する第 2の内部副変換処理部と、第 1の内部副変換処理部と、第 2の内部副変換処理部とを交互に n段接続し、最初の第 1の内部副変換処理部の入力側に内部データ選択部を付加し、また、最後の第 1と第 2のいずれかの内部副変換処理部の出力側に内部データ保持部を付加し、最初に A 1 入力データと A 2入力データを内部データ選択部で選択入力し、選択入力が終わると次回以降は上記内部データ保持部の出力を選択入力するよう帰還接続をして内部変換処理をし、最終回は内部データ保持部から出力される A 1中間データと A 2中間データを合わせて変換後の A出力データとする非線形変換を行うようにする。

また更に、各副変換処理部中の非線形変換に際しては、その副変換処理部への A入力デー夕を任意の桁数で分けて A 1入力データと A 2入力デ一夕とし、また、鍵パラメータも任意の桁数で分けて第 1の分割鍵パラメ一タないし第 nの分割鍵パラメ一夕とし、 A入力データを分けた A 1入力データを第 1の分割鍵パラメータで内部非線形変換し、内部非線形変換された出力データを第 1の A 2内部中間データとして出力し、 A 1入力データと A 2入力データとの排他的論理和を第 1の A 1内部中間データとして出力する第 1の内部副変換処理部と、第 1の内部副変換処理部の第 1の A 1内部中間データを A 1入力データとして第 2の分割鍵パラメ一夕で内部非線形変換して第 2の A 2内部中間デ一タとして出力し、第 1の A 1内部中間データと A 2内部中間データを A 1入力データと A 2入力データとして排他的論理和をとり第 2の A 1内部中間デ一夕として出力する第 2の内部副変換処理部と、第 1の内部副変換処理部と、第 2の内部副変換処理部とを交互に n段接続し、最初の第 1の内部副変換処理部の各入力側に内部データ選択部を付加し、また、最後の第 1と第 2のいずれかの内部副変換処理部の出力側に内部データ保持部を付加し、最初に A 1入力データと A 2入力データを内部データ選択部で選択入力し、選択入力が終わると次回以降は、内部データ保持部の出力を選択入力するよう帰還接続をして内部変換処理をし、最終回は内部データ保持部の出力の A 1中間データと A 2中間データを合わせて変換後の A 出力データとする非線形変換を行う。

また、上記又は上々記の各副変換処理部中の非線形変換への A入力データの分け方が等しい桁長となる場合、第 1の内部副変換処理部のみを必要段数接続する。

また更に、第 1の内部副変換処理部と、第 2の内部副変換処理部とを交互に必要段数接続し、最初の第 1の内部副変換処理部の入力側に内部データ選択部を付加し、また、最後の第 1と第 2のいずれかの内部副変換処理部の出力側に内部データ保持部を付加し、最初に B 1入力データと B 2入力データを内部データ選択部で選択入力し、選択入力が終わると次回以降は、内部データ保持部の出力を選択入力するよう帰還接続をして内部変換処理をし、最終回は内部データ保持部から出力される B 1 中間デ一夕と B 2中間データを合わせて変換後の B出力データとする。また、上記各副変換処理部中の内部副変換処理部への B入力デ一夕の分け方が等しい桁長となる場合、第 1の内部副変換処理部のみを必要段数接続する。

また、各鍵ノラメ一夕による副変換処理部を偶数段接続する構成とし、最初の副変換処理部の入力側にデータ選択部を付加し、また、最後の副変換処理部の出力側にデータ保持部を付加し、また、鍵パラメータ供給部を付加する。最初に、任意の 2つの A入力データと B入力データを上記データ選択部で選択し、該選択入力が終わると次回以降は、上記データ保持部の出力を選択入力するよう帰還接続をして必要な回数だけ繰り返し変換処理をし、その際、鍵パラメータ供給部は繰り返し変換処理に対応して各副変換処理部へ鍵パラメータを供給し、最終回は上記データ保持部から出力される A中間データと B中間デ一タを変換後の出力デー夕とする。

また、非線形変換回路として少なくともそのどれかにガロア体上の X の n乗回路を用いる。

また更に、ガロア体上の元 Xの n乗回路を、正規基底で構成する。また、非線形変換回路の少なくとも一部に Re a d On l y Me mo r yを用いる。

また、非線形変換回路の少なくとも一部に Ra n d om A c c e s s Memo r y ¾：用いる。

また、非線形変換回路の少なくとも一部に L 0 g i c C i r c i u tを用いる。

また更に、 2つの排他的論理和と、論理積又は論理和からなる 2つの論理演算回路を、データ変換部として、第 1の副変換部の A入力と B入力のいずれか又は各入力側に付加し、 A入力又は B入力を更に任意の桁長の 2つの A Aデータと A Bデータに分け、鍵パラメータを対応する A 変換鍵パラメータと B変換鍵パラメータに分け、 A Aデータと A変換鍵パラメータとの第 1の論理積又は論理和をとり、第 1の論理積 Z論理和された出力データと上記 A Bデータとの第 1の排他的論理和をとり、第 1の排他的論理和出力を A Bデータ変換後の出力データとし、第 1の排他的論理和出力と、 B変換鍵パラメータとの第 2の論理積又は論理和をとり、該第 2の論理積 Z論理和された出力データと上記 A Aデータとの第 2の排他的論理和をとり、第 2の排他的論理和出力を A Aデータ変換後の出力データとし、 A Aデータ変換後の出力データと ABデータ変換後の出力データを合わせて A入力データ又は B入力データとして後段に出力する。図面の簡単な説明

第 1図は実施の形態 1のデータ変換装置の構成プロック図、第 2図は非線形変換回路の例を示す構成図、第 3図は実施の形態 2のデータ変換装置の構成ブロック図、第 4図は実施の形態 1と 2のデータ変換装置の同一性を示す図、第 5図は実施の形態 1と 2のデータ変換装置と同一構成の他の例を示す図、第 6図は実施の形態 3のデータ変換装置の基本構成の一部と副変換処理部中の非線形変換回路の構成を示す図、第 7図は実施の形態 3のデータ変換装置の全体の副変換処理部の接続構成図、第 8図は第 7図の接続の装置のデータ変換順序を説明する図、第 9図は第 7図の接続の装置のデータ変換順序を説明する図、第 1 0図は第 7図の接続の装置のデータ変換順序を説明する図、第 1 1図は実施の形態 4のデータ変換装置の基本構成の一部と副変換処理部中の非線形変換回路の構成を示す図、第 1 2図は実施の形態 4のデータ変換装置の一部の副変換処理部の接続と、そのデータ変換順序を説明する図、第 1 3図は実施の形態 5のデータ変換装置の基本構成と副変換処理部中の非線形変換回路の構成を示す図、第 1 4図は実施の形態 6のデータ変換装置の構成ブロック図、第 1 5図は実施の形態 7のデータ変換装置の構成ブロック図、第 1 6図は実施の形態 8のデータ変換装置の構成ブロック図、第 1 7図は実施の形態 9のデータ変換装置の構成ブロック図、第 1 8図は実施の形態 9のデータ変換装置の中の外部非線形変換回路の構成を示す図、第 1 9図は実施の形態 9のデータ変換装置の中の内部非線形変換回路中の内部非線形変換回路の構成を示す図、第 2 0図は実施の形態 9のデータ変換装置における内部非線形変換回路中の非線形要素（変換テーブル）の例を示す図、第 2 1図は実施の形態 9のデータ変換装置における内部非線形変換回路中の非線形要素（変換テーブル）の例を示す図、第 2 2 図は第 1 9図の内部非線形変換回路中の非線形処理要素をガロア体上の Xの n乗回路で正規基底で構成した例を示す図、第 2 3図は実施の形態 1 0のデータ変換装置の構成ブロック図、第 2 4図は第 2 4図のデータ変換部の詳細構成を示す図、第 2 5図は実施の形態 1 1の他のデータ変換装置の構成プロック図、第 2 6図は実施の形態 1〜 1 1の特徴をまとめた図、第 2 7図はこの発明のデ一夕変換装置の応用例を示す図、第 2 8図はこの発明のデータ変換装置の応用例を示す図、第 2 9図は従来のデータ変換装置の構成を示す図である。発明を実施するための最良の形態

実施の形態 1 .

情報処理のデ一夕の秘密性や通信内容の当事者間の秘密性を保つ目的で、暗号化及びその復号化技術が注目されている。これら暗号化、復号化のデータ変換に際しては、データ変換の処理の高速性を得ることと、他者に暗号を解読される危険性を低くすることが重要である。

暗号化には、入力デ一夕を鍵パラメータで非線形変換する技術が知られている。また、暗号の強さを表す尺度として、いわゆる差分確率という概念があり、この差分確率の値が小さいほど強い暗号といえる。文献 1として、 Kaisa Nyberg, Lars Ramkilde Knudsen, Provable Security Against Differential Cryptanalysis ， Journal of Cryptology vol. 8 No. 1 (1995)によると、複数の副変換処理をつなげて暗号化を行う場合、各副変換処理における非線形変換の差分確率を Pとすれば、以下のことが成立することが示されている。

( 1 ) 非線形変換を入力データと出力データが 1対 1に定まる方式で実行すると、副変換処理が 3段以上あれば、全体の差分確率は 2 p ² 以下である。

ここで、入力データと出力データが 1対 1で定まるという意味は、例えば、 0〜 2 5 5のいずれかの値をとる入力データ Xに対して、 0〜2 5 5のいずれかの値をとる出力データ Yが出力される場合、入力デ一夕 Xのある値と出力データ Yのある値が 1対 1に対応して対になっていることをいう。たとえば、入力データ Xの値が 8の時、出力データ Yの値として必ず 1 2 5が出力されるような場合のことをいう。

第 2 9図に示したタイプのアルゴリズムで、非線形変換回路 1 0 3 1 , 1 0 3 2， 1 0 3 3の 3つの非線形変換の差分確率がそれぞれ pであるなら、第 2 9図に示したタイプのアルゴリズム全体の差分確率は 2 p ² 以下となる。

従来例の F E A Lアルゴリズムは、第 2 9図に示したタイプのァルゴリズムであるが、実は F E A Lの各副変換処理における非線形変換の差分確率 pは 1なので、上の論議をあてはめてもアルゴリズム全体の差分確率は 2以下という結論が得られるだけで、暗号強度に関する証明は何もできない。

ところで、第 2図は、従来から知られている非線形変換回路の例を示す図である。

図において、 1 5 1は非線形変換回路中の排他的論理和回路、 1 5 2 は同じくガロア体逆元回路である。ただし、 0入力に対しては 0を出力するものである。また、 nは入出力ビットサイズを表している。線形変換回路として第 2図の構成を用 t、た場合は、その構成から差分確率 p = 2 / 2 " ( nが奇数の場合）、 p = 4 Z 2 ⁿ ( nが偶数の場合）となること力口られている。

しかし、第 2図のガロア体逆元回路 1 5 2は、入力データのサイズが大きいと規模が大きくなつてしまうという欠点がある。

本発明によれば、以下に述べる構成によっても上記（1 ) の記述が成立することカ、文献 2として、「ブロック暗号の差分解読法と線形解読法にたいする証明可能安全性について」（松井充、第 1 8回情報理論とその応用シンポジウム予稿集、 1 9 9 5年 1 0月 2 4日〜 2 7日）により確かめられている。また、文献 2によると、本発明では、たとえ非線形変換として、第 2 9図記載のものと同じものを用いたとしても、 ( 1 ) の 2 p ² を p ² にすることができるので、暗号の強さが更に強くなる。

本実施の形態では、差分確率 pの値が小さいと評価ができる副変換処理部を使用して、しかもデータ変換が高速で行えるデータ変換装置を説明する。

第 1図は、本実施の形態におけるデータ変換装置の構成を示す図である。

図において、 1 0 1 , 1 0 2はそれぞれ A入力データ、 B入力データであり、 1 0 3 , 1 0 4は最終段の A出力データ、 B出力データで、この両者がデータ変換の出力データとなる。 1 0 5ないし 1 0 8は中間データ、 1 1 1ないし 1 1 4は暗号化のための鍵パラメ一タである。 1 2 1ないし 1 2 4は第 1段から第 n段の副変換処理部、その中に含まれる 1 3 1ないし 1 3 4は第 1段から第 n段の非線形変換回路、 1 4 1ないし 1 4 4は排他的論理和回路である。

次に、上記構成のデ一夕変換装置の動作を説明する。ここでは、 2つの入力データの長さが等しい場合について説明する。なお、デ一夕変換の処理で時間がかかるのは非線形変換であり、排他的論理和演算の時間はそれに比較すると無視できる。

第 1図において、一方の A入力データ 1 0 1は、第 1の鍵パラメ一夕 1 1 1により、第 2図に示す排他的論理和回路 1 5 1とガロア体逆元回路 1 5 2とで第 1の非線形変換を受ける。この変換結果 1 0 9力他方の B入力データ 1 0 2と排他的論理和演算を受けて、次段への B中間データ 1 0 6が得られる（S 2 ) 。一方、 B入力データ 1 0 2は、そのまま第 1段の A中間データ 1 0 5となり、次段への入力となる（S 1 ) 。 A中間データ 1 0 5は、第 2の非線形変換を受け、 B中間データ 1 0 6 と排他的論理和演算を受ける。その結果、 B中間データ 1 0 8が得られる（S 4 ) 。 B中間デ一夕 1 0 6は、そのまま、次段への A中間デ一夕 1 0 7となる（S 3 ) 。この手順によると、時間的に第 1の非線形変換と並行して第 2の非線形変換回路 1 3 2で演算が行われる。

こうして、奇数段と偶数段の副変換処理部において、ほぼ並行して非線形変換が行われ、高速のデータ変換ができる。

上記の実施の形態では 2つの入力デー夕の長さが等し L、場合を説明しす:が、 A入力データの長さ _{η ι} ビットと B入力データの長さビット力く異なる場合（Γ > n ₂ ) は、以下のことが成立する。

( 2 ) 非線形変換を入力データと出力データが 1対 1に定まる方式で行うと、副変換処理が 3段以上あれば、全体の差分確率は p 2 以下である。

従って、第 1図の構成で 2つの入力データの長さを変えた構成をしても、各副変換処理部の差分確率 pは変わらないが、全体の差分確率の値が P ² 以下であるということが判つたデ一夕変換装置を構成することができる。この場合、排他的論理和回路への入力は、 A入力データと B入カデ一夕との長さが異なるために、長、デ一夕に対してははみ出た部分 ( ru— r^ビッ卜の部分）に対しては排他的論理和演算をせずに、短いデータと同じ長さの部分（n ₂ビット）のみを短いデータと排他的論理和演算する。又は、短いデータに対しては長いデータに比べて不足する部分（r — n ₂ビッ卜の部分）に定数を埋めるなどして、長いデータと等長にして排他的論理和演算をする工夫がなされる。また、 A入力データと B入力デー夕の長さが異なる場合、鍵パラメータもその長さに対応して適切な鍵ノラメ一夕を供給する。

なお、本実施の形態では、ハードゥヱァ構成を説明したが、非線形変換及び排他的論理和演算をソフトウアで行っても、奇数段相当の演算と、偶数段相当の演算を並行して処理でき、同様の効果が得られる。実施の形態 2 .

本発明の趣旨である高速非線形変換の他の構成例を説明する。

本実施の形態では、各副変換処理部中の排他的論理和の位置を変えている。第 3図は、その構成を示すブロック図であり、図において、 1 6 1ないし 1 6 4はそれぞれ第 1ないし第 4の副変換処理部である。鍵パラメ一夕 1 1 1ないし 1 1 4、非線形変換回路 1 3 2ないし 1 3 5、排他的論理和回路 1 4 1ないし 1 4 4は実施の形態 1における第 1図の構成要素と同等のものである。副変換処理部 1 6 1ないし 1 6 4は、内部接続が第 1図の副変換処理部 1 2 1ないし 1 2 4とは異なっている。この接続によっても、実施の形態 1と同様、全体の差分確率は p ² 以下とでき、全体の差分確率が（1 ) で述べた 2 p ² より小さな強い暗号を生成することができる。

第 1の副変換処理部 1 6 1では、 A入力データ 1 0 1と B入力データ

1 0 2に対し、 A入力デ一夕 1 0 1を第 1の鍵パラメータ 1 1 1で非線形変換し、この非線形変換回路 1 3 2で非線形変換された出力データを、第 1段の B中間データ 1 0 6として出力する（S 1 2 ) 。また、排他的論理和回路 1 4 1で A入力データ 1 0 1と B入力データ 1 0 2の排他的論理和を得、これを第 1段の A中間データ 1 0 5として出力する（S 1

1 ) 第 2の副変換処理部 1 6 2では、第 1の副変換処理部 1 6 1から出力される A中間データ 1 0 5を一方の入力として、第 2の鍵パラメ一夕 1 1 2で非線形変換し、この非線形変換回路 1 3 3で非線形変換された出力データを、第 2段の B中間データ 1 0 8として出力する（S 1 4 ) 。また、第 1段の A中間データ 1 0 5と B中間データ 1 0 6を、それぞれ入力として排他的論理和回路 1 4 2で演算を行い、第 2段の A中間デー夕 1 0 7として出力する（S 1 3 ) 。

以後、上記の第 1と第 2の副変換処理部力交互に接続される。最終は、第 1又は第 2のどちらの副変換処理部であつてもよいことは、実施の形態 1と同様である。

この接続による動作も、実施の形態 1で述べた文献 2の根拠に基づき、全体の差分確率が P ² 以下の装置が得られる。また、非線形変換の動作の速さと排他的論理和の動作の速さとを比べると、排他的論理和の動作ははるかに速いので、図の接続状況から明らかなように、動作の遅い第 1段と第 2段の非線形変換の動作がほぼ並列で行わることで、装置全体の高速動作を可能にしている。

ここで、第 1図に示した構成と第 3図に示した構成が実質的に同一のものであることを、第 4図を用いて説明する。

第 4図において、 1 2 1〜1 2 4は第 1図に示した副変換処理部である。 1 6 1〜1 6 4は第 3図に示した副変換処理部である。第 4図から判るように、第 1図と第 3図に示した副変換処理部は、第 4図に示した回路をどのような部分で切り出したかによるものである。即ち、第 1図の場合は、第 1の非線形変換回路 1 3 1の入力側から第 2の非線形変換回路 1 3 2の入力側までの要素（第 1の非線形変換回路 1 3 1と排他的論理和回路 1 4 1 ) を、第 1の副変換処理部 1 2 1とし、第 2の非線形変換回路 1 3 2の入力側から次の第 1の非線形変換回路 1 3 3の入力側までの要素（第 2の非線形変換回路 1 3 2と排他的論理和回路 1 4 2 ) を、第 2の副変換処理部 1 2 2としている。第 3図の場合は、第 1の非線形変換回路 1 3 1の出力側から第 2の非線形変換回路 1 3 2の出力側までの要素（排他的論理和回路 1 4 1と第 2の非線形変換回路 1 3 2 ) を、第 1の副変換処理部 1 6 1とし、第 2の非線形変換回路 1 3 2の出力側から次の第 1の非線形変換回路 1 3 3の出力側までの要素（排他的論理和回路 1 4 2と第 1の非線形変換回路 1 3 3 ) を、第 2の副変換処理部 1 6 2としている。

第 5図は、第 1図又は第 3図に示す構成と、実質的に同一の構成を持つ他の例を示す図である。

第 5図に示す例は、排他的論理和回路 1 4 1〜 1 4 5を縦繞接続したものである。排他的論理和回路の出力データが、次の排他的論理和回路への 2入力デ一夕のうちの 1つの入力デ一夕となるように、縦続接続されている。非線形変換回路 1 3 1 , 1 3 3 , 1 3 5は、縦続接続された排他的論理和回路のうち、奇数番目の排他的論理和回路 1 4 1 , 1 4 3 , 1 4 5に接続されている。また、非線形変換回路 1 3 2， 1 3 4 , 1 3 6は、偶数番目の排他的論理和回路 1 4 2 , 1 4 4に接続されている。第 5図に示す構成を用いても、第 1図又は第 3図と同じように、第 1 と第 2の非線形変換回路 1 3 1と 1 3 2又は 1 3 3と 1 3 4又は 1 3 5 と 1 3 6力並行して実行され、高速処理が可能である。

実施の形態 3 .

実施の形態 1で述べたように、第 2図に示す非線形変換回路は、入出カデ一夕のサイズが大きいと規模が大きくなつてしまう。そこで、この実施の形態では、データ変換装置に構造を入れ子構造にして、第 2図の非線形変換回路もより小さい非線形変換回路（例えば、逆元回路）を組み合せたコンパク卜な構成を考える。また、従来例の文献の F E A Lは、差分確率 pの値が大きいので、暗号の強さの評価として不十分である。

本実施の形態では、 1つの非線形変換がより小さい規模で、しかも全体の差分確率を小さくできる非線形変換回路を説明する。

第 6図は、副変換処理部とその非線形変換回路の詳細を示す図である。第 6図において、 aは第 1段の副変換処理部を示し、 2 2 1は外部副変換処理部、 2 3 1はその外部非線形変換回路である。 bは外部非線形変換回路 2 3 1の詳細構成を示し、 3 5 1は A入力データ 1 0 1を 2分割する内部分割部、 3 0 1 , 3 0 2は 2分割された A 1入力データ、 A 2入力データ、 3 0 3ないし 3 0 8は内部中間データ、 3 1 1ないし 3 1 3は鍵パラメータ 1 1 1を分割した分割鍵ハ°ラメータで、 3 5 2は内部中間デ一夕 3 0 3と 3 0 4を融合する内部融合部、 3 2 1ないし 3 2 3は内部副変換処理部、 3 3 1ないし 3 3 3は内部非線形変換回路、 3 4 1ないし 3 4 3は内部排他的論理和回路である。 1 5 8は、鍵パラメータ 1 1 1を分割する鍵パラメータ供給部である。

例えば、第 6図のアルゴリズムの場合、内部非線形変換回路 3 3 1 , 3 3 2 , 3 3 3として差分確率 pのものを用いた場合、外部非線形変換回路 2 3 1の差分確率は p ² 以下である。従って、外部副変換処理部 2 2 1を 3段以上重ねたアルゴリズムの差分確率は（p ² ) ² = p ⁴ 以下となる。

また、第 7図は、第 6図の aに示す外部副変換処理部を 4段接続し、各外部副変換処理部中の非線形変換回路として、第 6図の bに示す 3段の内部副変換処理部を接続した場合の全体の副変換処理部の構成を示す図である。

図において、代表的な構成要素である各外部副変換処理部 2 2 1ないし 2 2 4と、各外部非線形変換回路 2 3 1ないし 2 3 4と外部副変換処理部中の排他的論理和回路 1 4 1ないし 1 4 4、内部副変換処理部 3 2 1ないし 3 2 3と、第 1と第 2の外部非線形変換回路 2 3 1 , 2 3 2中の内部非線形変換回路 3 3 1ないし 3 3 6の番号は記載してあるカ、その他の構成要素の番号は、省略している。

また、第 8図ないし第 1 0図は、第 7図の構成のデータ変換装置がデータ変換を行つていく順序を時間を追つて説明する図である。

まず、第 6図に示す外部非線形変換回路 2 3 1の動作について説明する。

外部副変換処理部 2 2 1への A入力データ 1 0 1を内部分割部 3 5 1 により任意の桁数で 2つに分けて、 A 1入力データ 3 0 1と A 2入力データ 3 0 2とし、また、鍵パラメータ 1 1 1も鍵パラメータ供給部 1 5 8により任意の桁数で分けて、第 1の分割鍵パラメータないし第 nの分割鍵パラメータ 3 1 1〜 3 1 3として供給する。第 1の内部副変換処理部 3 2 1では、上記 A入力データ 1 0 1を分けた A 1入力データ 3 0 1を、第 1の分割鍵パラメ一夕 3 1 1で内部非線形変換し、該内部非線形変換された出力データと上記 A 2入力データ 3 0 2との排他的論理和を、第 1の A 2内部中間データ 3 0 6として出力し、上記 A 2入力をそのまま第 1の A 1内部中間データ 3 0 5として出力する。

第 2の内部副変換処理部 3 2 2では、上記第 1の内部副変換処理部 3 2 1の第 1の A 1内部中間データ 3 0 5を A 1入力として、第 2の分割鍵パラメータ 3 1 2で内部非線形変換する。上記第 1の A 2内部中間データ 3 0 6を A 2入力データとして該 A 2入力と内部非線形変換された出力データとの排他的論理和を、第 2の A 2内部中間データ 3 0 8として出力し、上記第 1の A 2内部中間データ 3 0 6をそのまま第 2の A 1内部中間データ 3 0 7として出力する。そして、上記第 1の内部副変換処理部と、上記第 2の内部副変換処理部とを交互に n段接続し、最終段の A 1内部中間データ 3 0 3と A 2内部中間データ 3 0 4を、内部融合部 3 5 2により合わせて変換結果 1 0 9とする。

次に、第 7図に示した上記構成のデータ変換装置の動作を説明する。まず、最初のサイクルで、 A入力データ 1 0 1、 B入力データ 1 0 2 に対して、第 8図に示す処理が実行される。即ち、非線形変換が時間がかかるので、最初のサイクルでは、外部副変換処理部 2 2 1の内部非線形変換回路 3 3 1 , 3 3 2と、外部副変換処理部 2 2 2の内部非線形変換回路 3 3 4， 3 3 5でほとんどの時間が使われる。つまり、最初のサィクルでは、第 8図に示すように、太線で示すデータが伝わり内部非線形変換回路 3 3 1 , 3 3 2 , 3 3 4 , 3 3 5の処理が実行される。次のサイクルでは、第 9図に示す処理が行われる。即ち、第 1の外部副変換処理部 2 2 1中の内部非線形変換回路 3 3 3と、第 2の外部副変換処理部 2 2 2中の内部非線形変換回路 3 3 6と、第 3の外部副変換処理部 2 2 3中の内部非線形変換回路 3 3 7と、第 4の外部副変換処理部 2 2 4中の内部非線形変換回路 3 9 1の処理に時間が当てられる。太い破線は、 A入力側のデ一夕が伝わったことを示している。

次のサイクルでは、第 1 0図に示す処理が行われる。即ち、第 3と第 4の外部副変換処理部 2 2 3と 2 2 4の残りの内部非線形変換回路 3 3 8 , 3 3 9と 3 9 2 , 3 9 3に処理時間が当てられる。この 3サイクルが終わると、全ての変換処理が終わることになる。これを従来の逐次処理方式のデータ変換と比較すると、従来方式では前段の内部非線形変換が終わらないと次段の内部非線形変換が始まらないため、 1 2サイクルを要していたので、この実施の形態の方式では、約 4倍の高速処理がでさる。

なお、上記実施の形態では、内部副変換処理部中の入れ子の内部非線形変換回路 3 3 1ないし 3 9 3は、実施の形態 1の接続構成のものを示した力く、入れ子の非線形変換回路として実施の形態 2の接続構成のものを用いて同様の動作をし、同様の効果がある。

実施の形態 4 .

この実施の形態では、回路構成が小さな非線形変換回路を、従来の副変換処理部中の非線形変換回路に適用した形態を説明する。

第 1 1図は、副変換処理部とその非線形変換回路の詳細を示す図である。

第 1 1図において、 aは第 1段の副変換処理部を示し、 4 2 1は外部副変換処理部、 4 3 1はその外部非線形変換回路である。第 1 1図の b は、外部非線形変換回路 4 3 1の詳細構成を示し、 5 5 1は内部分割部、 5 0 1ないし 5 0 8は入力データ、 5 1 1ないし 5 1 3は鍵パラメ一夕 1 1 1を分割した分割鍵パラメータで、 5 5 2は内部融合部、 5 2 1ないし 5 2 3は内部副変換処理部、 5 3 1ないし 5 3 3は内部非線形変換回路、 5 4 1ないし 5 4 3は排他的論理和回路である。

第 1 1図のアルゴリズムの場合、内部非線形変換回路 5 3 1 , 5 3 2，

5 3 3として差分確率 pのものを用いた場合、外部非線形変換回路 4 3 1の差分確率は P ² 以下である。従って、外部副変換処理部 4 2 1を 3 段以上重ねたアルゴリズムの差分確率は 2 ( p 2 ) 2 = 2 p ⁴ 以下となる

また、第 1 2図は、第 1 1図の aに示す外部副変換処理部を 2段接続し、各外部副変換処理部中の非線形変換回路として、第 1 1図の bに示す 3段の内部副変換処理部を接続した場合の全体の副変換処理部の構成を示す図と、第 1 2図の aの構成のデータ変換装置がデータ変換を行つていく順序を時間を追って説明する図である。

図において、代表的な構成要素である各外部副変換処理部 4 2 1 , 4

2 2と、外部副変換処理部中の排他的論理和回路 4 4 1 , 4 4 2、内部副変換処理部 5 2 1 , 5 2 2 , 5 2 3と、第 1と第 2の内部副変換処理部中の内部非線形変換回路 5 3 1ないし 5 3 6の番号は記載してあるが、その他の構成要素の番号は省略してある。。

次に、上記構成のデータ変換装置の動作を説明する。

まず、最初のサイクルでは、第 1 2図の bに示すように、 A入力デ一夕 1 0 1、 B入力データ 1 0 2に対しては、外部副変換処理部 4 2 1の内部非線形変換回路 5 3 1 , 5 3 2で時間がかかる。つまり、最初のサィクルでは、第 1 2図の bの太線で示すデータが伝わり、内部非線形変換回路 5 3 1， 5 3 2の処理が実行される。

次のサイクルでは、第 1 2図の cに示す処理が行われる。即ち、外部副変換処理部 4 2 1中の内部非線形変換回路 5 3 3と、第 2の外部副変換処理部 4 2 2中の内部非線形変換回路 5 3 4の処理に時間が当てられる。太い破線は、 A入力側のデータが伝わったことを示している。

次のサイクルでは、第 1 2図の dに示す処理が行われる。即ち、第 2 の外部副変換処理部 4 2 2の残りの内部非線形変換回路 5 3 5 , 5 3 6 に処理時間が当てられる。この 3サイクルが終わると、全ての変換処理が終わることになる。これを従来の逐次処理方式と比較すると、従来の方式では、前段の内部非線形変換の処理が済まないと次段の内部非線形変換の処理ができないので、この例では、 6サイクルが必要であつたのに対し、本実施の形態の方式では、 3サイクルで終わり、演算の高速化が図れるという効果がある。

なお、上記実施の形態では、副変換処理部中の入れ子の非線形変換回路は、実施の形態 1の接続構成のものを示したが、入れ子の非線形変換回路として実施の形態 2の接続構成のものを用いても同様の動作をし、同様の効果がある。

実施の形態 5 . 本発明のデータ変換装置の基本構成要素である非線形変換回路を、従来の副変換処理部中の非線形変換回路に適用した他の形態を説明する。第 1 3図は、その構成と副変換処理部中の非線形変換回路の詳細を示す図である。

第 1 3図において、 aは全体の構成を示し、 62 1ないし 624は外部副変換処理部、 63 1ないし 634はその外部非線形変換回路、 64 1ないし 644、 74 1ないし 744は排他的論理和回路である。また、 601， 602， 70 1 , 702はそれぞれ A 1, B l, A 2， B 2入力データ、 603, 604, 703, 704は変換後の出力データ、 6 05ないし 608、 705ないし 708は中間データである。第 1 3図の bは、外部非線形変換回路 63 1の詳細構成を示し、 65 1， 75 1 は非線形変換後の各デ一夕、 775ないし 778は内部中間データ、 Ί 1 1ないし 7 1 3は鍵パラメータ 1 1 1を分割した分割鍵パラメ一夕である。 72 1ないし 723は内部副変換処理部、 73 1ないし 733は内部非線形変換回路、 76 1ないし 763は排他的論理和回路である。第 1 3図に示すデータ変換装置は、任意の 4つの A 1入力データ、 A 2入力データと B 1入力データ、 B 2入力データに対し、各副変換処理に際して、上記 A 1入力データと B 1入力データ間、 A 2入力デ一夕と B 2入力データ間で非線形変換と排他的論理和演算を行い、それぞれ B 1中間データと B 2中間データとし、 B 1入力データと B 2入力データをそのまま A 1中間デ一夕と A 2中間データとする。

上記構成のデータ変換装置のその他の動作は、先の実施の形態 3、実施の形態 4の説明で明らかなので、ここでは詳細な説明は省く。実施の形態 3、実施の形態 4と同様演算の高速化が図れる。

実施の形態 6.

本実施の形態では、実施の形態 1における第 1の副変換処理部 1 2 1 と第 2の副変換処理部 1 2 2カ交互に複数接続されて実行された処理を、基本となる第 1の副変換処理部 1 2 1と第 2の副変換処理部 1 2 2から構成された処理単位の繰り返し処理で実現したものを説明する。即ち、演算処理が重ならない第 1の副変換処理部 1 2 1と第 2の副変換処理部 1 2 2を 1組の処理単位とし、組になった第 2の副変換処理部の出力デ一タを保持して、この出力データを第 1の副変換処理部の入力デ一夕として供給し、繰り返し演算を可能にすることで、ハードゥヱァ規模の削減を図る。

第 1 4図は、その構成を示すブロック図であり、図において、 1 2 1， 1 2 2は第 1、第 2の副変換処理部である。 1 1 1 , 1 1 2は第 1、第 2の鍵パラメータである。非線形変換回路 1 3 1ないし 1 3 2、排他的論理和回路 1 4 1ないし 1 4 2は、実施の形態 1における第 1図の構成要素と同等のものである。 1 5 3は制御部、 1 5 4は繰り返し処理部、 1 5 6 a , 1 5 6 bはデータ選択部、 1 5 7 a， 1 5 7 bはデータ保持部、 1 5 8は鍵パラメータ供給部である。

次に、上記構成のデータ変換装置の動作を説明する。

任意の A入力データ 1 0 1と B入力データ 1 0 2は、まず、データ選択部 1 5 6 a , 1 5 6 bを経申して第 1の副変換処理部 1 2 1へ入力される。次に、 A中間データ 1 0 5、 B中間データ 1 0 6は、第 2の副変換処理部 1 2 2へ入力される。ここで、第 1及び第 2の副変換処理部の動作は、実施の形態 1で示したものと同じである。ただし、第 1及び第 2の副変換処理部中の非線形変換回路へは、下記の繰り返し処理に対応して第 1の副変換処理部及び第 2の副変換処理部に供給されるべき鍵パラメ一タカ、'、鍵パラメータ供給部 1 5 8により供給される。第 2の副変換処理部 1 2 2から出力される A中間デ一夕 1 0 7及び B中間データ 1 0 8は、繰り返し処理部 1 5 4により、それぞれデータ保持部 1 5 7 a とデータ選択部 1 5 6 a及びデータ保持部 1 5 7 bとデータ選択部 1 5 6 bを経由して、それぞれ第 1の副変換処理部 1 2 1へ A入力データ及び B入力データとして入力される。以降、上記の繰り返し処理の後、 A 出力データ 1 0 3と B出力データ 1 0 4が出力される。

このように構成することで、実施の形態 1と同様の理由で高速のデータ変換ができ、かつ、副変換処理部の数を少なくすることができ、装置規模を小さくすることができる。

なお、上記の実施の形態では、第 1の副変換処理部 1 2 1と第 2の副変換処理部 1 2 2の 1段ずつを縦続接続したものを基本構成として繰り返し処理の単位としているが、第 1の副変換処理部と第 2の副変換処理部を 1組にして、交互に必要な段数分縦続接続したものを繰り返し処理の単位にすることでも、同様の効果があることは明らかである。

第 1 4図に示す構成は、第 1の副変換処理部と第 2の副変換処理部を 1組にして縦続接続しているため、必ず偶数段の副変換処理部により構成される。このように、偶数段の副変換処理部により構成する理由は、 A入力デー夕と B入力デー夕のデ一夕の桁数が異なる場合でも、適切なデータ変換力行えるようにするためである。例えば、 A入力データが 7 桁であり、 B入力データが 9桁であり、鍵パラメータ供給部 1 5 8が 7 桁用の鍵パラメ一夕 1 1 1を非線形変換回路 1 3 1に供給し、 9桁用の鍵パラメータ 1 1 2を非線形変換回路 1 3 2に供給するものとする。 7 桁の A入力データ 1 0 1は、非線形変換回路 1 3 1において、 7桁用の鍵ハ°ラメ一夕 1 1 1により非線形変換され、 7桁の B中間データ 1 0 6 となり、更に、 A中間デ一夕 1 0 7として出力される。この A中間デ一夕 1 0 7は、データ保持部 1 5 7 aとデータ選択部 1 5 6 aを経由して、再び A入力データとなる。このように、 7桁の A入力データ力、必ず 7 桁用の鍵パラメータ 1 1 1により、非線形変換を受けるためには、副変換処理部を偶数段にしておく必要がある。もし、副変換処理部が奇数段であると、非線形変換回路 1 3 1では、 7桁のデータと 9桁のデ一夕が交互に非線形変換されることになつてしまう。

なお、図示しないが、鍵パラメータ供給部 1 5 8が副変換処理部に対して 7桁用と 9桁用の鍵パラメータを交互に供給するように制御できるなら、奇数段の副変換処理部が縦続接続されていてもよい。

実施の形態 7 .

本実施の形態では、実施の形態 2における第 1の副変換処理部 1 6 1 と第 2の副変換処理部 1 6 2が交互に複数接続されて実行された処理を、基本となる第 1の副変換処理部と第 2の副変換処理部から構成された処理単位の繰り返し処理で実現したものを説明する。即ち、実施の形態 6 で述べた帰還ループを設けて A, B中間データを、入力側のデータ選択部に戻して繰り返し演算をさせてハードウエア規模の削減を図る。

第 1 5図は、その構成を示すブロック図であり、図において、 1 2 5 , 1 2 6は第 1、第 2の副変換処理部である。 1 1 1 , 1 1 2は第 1、第 2の鍵パラメータである。非線形変換回路 1 3 2ないし 1 3 3、排他的論理和回路 1 4 1ないし 1 4 2は、実施の形態 2における第 3図の構成要素と同等のものである。制御部 1 5 3、繰り返し処理部 1 5 4、デー夕選択部 1 5 6 a ， 1 5 6 b , データ保持部 1 5 7 a , 1 5 7 b、鍵パラメ一夕供給部 1 5 8は、実施の形態 6における要素と同じものである。次に、上記構成のデータ変換装置の動作を説明する。

任意の A入力データ 1 0 1と B入力データ 1 0 2は、まず、データ選択部 1 5 6 a , 1 5 6 bを経由して第 1の副変換処理部 1 2 5へ入力される。次に、 A中間データ 1 0 5 、 B中間データ 1 0 6は、第 2の副変換処理部 1 2 6へ入力される。ここで、第 1及び第 2の副変換処理部の動作は、実施の形態 2で示したものと同じである。ただし、第 1及び第 2の副変換処理部中の非線形変換回路へは、下記の繰り返し処理に対応して第 1の副変換処理部及び第 2の副変換処理部に供給されるべき鍵パラメ一タカ、鍵パラメ一夕供給部 1 5 8により供給される。第 2の副変換処理部 1 2 6から出力される A中間デ一夕 1 0 7及び B中間データ 1 0 8は、繰り返し処理部 1 5 4により、それぞれデータ保持部 1 5 7 a， 1 5 7 bとデータ選択部 1 5 6 a , 1 5 6 b経由で、第 1の副変換処理部 1 2 5へ A入力データ及び B入力データとして入力される。以降、上記の繰り返し処理の後、 A出力デ一夕 1 0 3及び B出力データ 1 0 4力出力される。

このように構成することで、実施の形態 2と同様の理由で高速のデ一夕変換ができ、かつ、副変換処理部の数を少なくすることができ、装置規模を小さくすることができる。

第 1の副変換処理部 1 2 5と第 2の副変換処理部 1 2 6の 1段ずつを縦続接続したものを繰り返し処理の単位として説明したが、第 1の副変換処理部 1 2 5と第 2の副変換処理部 1 2 6を 1組にして、交互に必要な段数分縦続接続して繰り返し処理の単位としてもよいことは、先の実施の形態 6と同様である。なお、詳細な接続構成図と動作の記述は省く、実施の形態 6又はこの実施の形態 7と同様に、実施の形態 4又は実施の形態 5における外部副変換処理部を偶数段接続したものを繰り返し処理の単位に置き換えたものも、高速演算性を損なわずに、外部副変換処理部の数を小さくすることができる。ここで外部副変換処理部を偶数段接続したものを繰り返しの処理単位とする場合でも、高速演算性が損なわれないのは、実施の形態 4の動作の説明から明らかである。

なお、詳細な接続構成図と動作の記述は省くカ、実施の形態 6又は実施の形態 7のデータ選択部とデータ保持部を組にして帰還ループを形成することを、実施の形態 3ないし実施の形態 5に示した内部副変換処理部に対して適用することもできる。即ち、第 6図、第 1 1図の外部非線形変換回路中の内部分割部 3 5 1， 5 5 1内又はその後に内部データ選択部を設けてデータ入力の切換え選択をさせ、内部融合部 3 5 2， 5 5 2内又はその前に内部データ保持部を設けて、内部データ選択部との間に帰還ループを形成する。また、第 1 3図の外部非線形変換回路の前に、データ選択部を設けてデータ入力の切換え選択をさせ、外部非線形変換回路の後に、データ保持部を設けてデータ選択部との間に帰還ループを形成する。こうすることで、高速演算性を損なわずに、内部副変換処理部の規模を少なくできる。

実施の形態 8 .

本実施の形態では、実施の形態 1における複数の副変換処理部 1 2 1 ないし 1 2 4による処理を、基本となる繰り返し処理単位の繰り返し処理に置き換えたものを説明する。この実施の形態においては、任意の A 入力データ 1 0 1と B入力データ 1 0 2とのデータ桁数が等しいものとする。 A入力デ一夕 1 0 1と B入力データ 1 0 2とのデータ桁数が等しい時は、繰り返しのための副変換処理部の数は、必ずしも偶数である必要がなくなり、任意の段数を縦続して帰還ループを形成できる。

第 1 6図は、その構成を示すブロック図であり、説明を簡単にするため副変換処理部が 1段だけ存在する帰還ループとしている。

図において、 1 2 1は副変換処理部である。第 1の鍵パラメ一夕 1 1

1、非線形変換回路 1 3 1、排他的論理和回路 1 4 1、繰り返し処理部 1 5 4、データ選択部 1 5 6 a， 1 5 6 b、デ一夕保持部 1 5 7 a， 1 5 7 b , 鍵パラメータ供給部 1 5 8は、他の実施の形態と同様の要素である。

次に、上記構成のデータ変換装置の動作を説明する。

任意の A入力データ 1 0 1と B入力データ 1 0 2は、まず、データ選択部 1 5 6 a , 1 5 6 bを経由して副変換処理部 1 2 1へ入力される。ここで、副変換処理部 1 2 1の動作は、実施の形態 1で示したものと同じである。ただし、副変換処理部中の非線形変換回路へ供給される鍵パラメ一夕は、鍵パラメータ供給部 1 5 8により下記の繰り返し処理に対応して供給される。副変換処理部 1 2 1から出力される A中間データ 1 0 5及び B中間データ 1 0 6は、繰り返し処理部 1 5 4により、それぞれ副変換処理部 1 2 1へ A入力データ及び B入力データとして入力される。以降、上記の繰り返し処理の後、 A出力データ 1 0 3及び B出力データ 1 0 4が出力される。

このように構成することで、非線形変換回路の数を少なくすることができ、装置規模を小さくすることができる。

なお、上記の実施の形態では、 1段の副変換処理部 1 2 1を繰り返し処理の単位として説明した力複数段縦続接続してもよいことは明らかである。この場合、高速性を失うことなく装置規模を小さくすることができる。

また、副変換処理部として、実施の形態 2で示した装置の副変換処理部を用いてもよいことも明らかである。

なお、詳細な接続構成図と動作の記述は省くが、実施の形態 6又は実施の形態 7と同様に、上記実施の形態を実施の形態 3ないし実施の形態 5の内部副変換処理部にも適用できることも明らかである。

実施の形態 9 .

本実施の形態では、回路構成が小さな非線形変換回路を、従来の副変換処理部中の非線形変換回路に適用した形態を説明する。

第 1 7図は、本実施の形態のデータ変換装置の構成を示す図である。第 1 8図は、第 1 7図における外部非線形変換回路 8 3 1 (ないし 8

3 8 ) の構成を示すブロック図である。第 1 9図は、第 1 8図における内部非線形変換回路 93 1 (ないし 9 33) の構成を示すブロック図である。

ここで、鍵パラメータ 8 1 1は、 32 x 3 = 96ビットであり、鍵パラメ一夕 8 1 1 a +鍵パラメータ 8 1 1 b+鍵パラメ一夕 8 1 1 cの合計長が 32ビット、鍵パラメータ 8 1 1 d +鍵パラメータ 8 1 1 e +鍵ノ、。ラメ一夕 8 1 1 f の合計長が 32ビット、鍵パラメ一夕 8 1 1 g+鍵パラメータ 8 1 1 h+鍵パラメ一夕 8 1 1 iの合計長が 32ビッ卜となっている。更に、鍵パラメータ 8 1 1 aは 1 6ビット、鍵パラメータ 8 1 1 bは 7ビット、鍵パラメータ 8 1 1 cは 9ビットである。

第 20図及び第 2 1図は、第 1 9図における非線形変換回路 95 1及び 952 a, 952 bを ROM (R e a d On l y Memo r y) 又は RAM (Ra n d om A c c e s s Memo r y) で実現する場合の変換テーブル S 7， S 9の例である。たとえば、変換テーブル S 7に対して、入力データ X= 0が入力されると出力デ一夕 Y= 85が出力される。また、入力デ一夕 Χ= 1が入力されると出力データ Υ= 95 が出力される。また、入力データ Χ= 1 28が入力されると出力データ Υ = 42が出力される。変換テーブル S 9の場合も、入力データ Χ=0, 1， . . . ， 5 1 1が入力されると出力データ Υ= 34 1， 3 1

0， . . . ， 1 70が出力される。

ここで、上記変換テーブル S 7は、次のように構成されている。

7次の既約多項式、 X ⁷ + X ⁵ + X ⁴ + X ³ + 1 = 0の根を αとした時に、入力の基底を正規基底 {a, a² , a⁴ , α⁸ , ^{1 6}, a³², ひ ^{6 4} } 、出力の基底を正規基底 {ひ ^{3 2}, ⁴ , a² , a^& a ¹⁶, a, a⁸ } とし、この基底に対してガロア体 GF (2⁷ ) 上の元である入力 Xに対して X ¹⁷を表現したものに、 55 h (1 6進数）を XOR (排他的論理和）したものを出力とする。この入出力を、 1 0進数表現したテーブルが第 20図である。ここで、入出力は、左側が L SB (最下位ビット）とする。

また、上記変換テーブル S 9は、次のように構成されている。

9次の既約多項式、 X ⁹ + ⁸ + X ⁷ - ⁶ + ⁴ + X ³ + 1 - 0 の根をひとした時に、入力の基底を正規基底 {α, « 2 , ひ⁴ ， α⁸ ， a¹⁶, a³², ひ ⁶⁴, α ¹²⁸ ， α ²⁵⁶ } 、出力の基底を正規基底 {ひ ⁶⁴， a、 a ¹⁶, a^s , α ²⁵⁶ , a ² , α ¹²⁸ ，ひ³²， a⁴ } とし、この基底に対してガロア体 GF (2⁹ ) 上の元である入力 Xに対して X⁵ を表現したものに、 1 55 h ( 1 6進数）を XOR (排他的論理和）したものを出力とする。この入出力を、 1 0進数表現したテーブルが第 2 1図である。ここで、入出力は、左側が L SB (最下位ビッ卜）とする。

なお、ガロア体を表現するものとして多項式基底、正規基底などによるべクトル表現がある。

その典型は、多項式基底によるべクトル表現である。多項式基底によるべクトル表現は、 GF (2^m ) の原始元をひとし、 GF (2^m ) の任意の元を多項式基底 { 1， a, a² ， …， a^m- ¹ } によるベクトル表現で表す。

多項式基底の利点としては、 GF (2^m ) の元どうしの加算をビッ卜毎の加算（排他的論理和演算）によって実現できることにある。即ち、ハードウェアで実現する場合、 2入力の排他的論理和演算回路 m個で実現することが可能となる。し力、し、多項式基底によるべクトル表現においては、乗算は加算に比べるとハ一ドウヱァで実現するのは一般に困難であり、 ROMなどで実現するのが一般的である。

多項式基底以外の重要な基底として、正規基底（n o rma l b a s i s) がある。これは、 m次原始多項式の根ひとその共役元からなる集合で、 { α, α², α⁴, ... α²""², α²"" } 力、'基底となる。正規基底の最大の特徴は、これを用いた時、 2乗が非常に簡単になるという点にある。 GF (2^m ) の任意の元を 2乗する場合、そのべク卜ル表現を右に巡回シフ卜することにより実現できる。これをハ一ドゥエァで実現する場合は、ビッ卜の結線を結び替えることのみにより実現可能である。この特徴を利用することで、正規基底を用いたべクトル表現に比べ、任意の元 Xに対する Xⁿ 回路をより少ないハードゥヱァ規模で実現することが可能である。逆元（X ¹) 回路も、 Xの n乗回路とみなすことができる。即ち、ガロア体 GF (2^m ) の任意の元 Xの逆元 X -¹ は、 X²"—² に等しく、 n = 2^m — 2とすればよいからである。この例として、上記変換テーブル S 7の入力 7ビットを {inO, inl, in2，in3, in4, i n5, in6 } 、出力 7ビットを {outO, outl, out2, out3, out4, out5, out6} とした時の下位 6ビット目（out5) を、論理回路で実現した例を第 22図に示す。

第 17図〜第 19図に示す上記構成のデータ変換装置の動作は、先の実施形態より明らかなので、ここでは詳細な説明は省く。

実施の形態 10.

回路規模をそれほど増大させず、しかも暗号の強さを強くしたデータ変換装置を説明する。

第 23図は、本実施の形態のデータ変換装置の構成図である。

本構成は実施の形態 9の装置に、データ変換部 F L 1〜F L 10を付加したものである。

また、第 24図は、データ変換部 F L 1 971 (〜FL 10 98 0) の詳細構成を示した図である。

各データ変換部 F L 1〜F L 10は、論理積回路 971 a又は論理和回路 971 bと、排他的論理和回路 971 c, 971 dで構成される。鍵パラメ一夕 KL 1の長さは 32ビッ卜で、図示していない鍵パラメ一タ供給部により鍵パラメ一夕は、鍵パラメータ K L 1 aと K L 1 bに分割される。例えば、鍵パラメ一タ K L 1 aが 1 6ビット、鍵パラメータ K L 1 bが 1 6ビッ卜に分割される。図中の論理積回路 9 7 1 a又は論理和回路 9 7 1 bは、論理積回路と論理和回路とのどちらの回路であつてもよく、また、論理和回路と論理和回路の組合せであってもよい。上記構成の装置の動作を説明する。

2つの排他的論理和回路 9 7 1 c , 9 7 1 dと、 2つの論理積回路又は 2つの論理和回路又は 1つの論理積回路と 1つの論理和回路からなる第 1と第 2の論理演算回路をデータ変換部 9 7 1として、第 1の副変換処理部の A入力側と B入力側のいずれか又は両入力側に付加する。

A入力（又は B入力）を更に任意の桁長の 2つの A Aデータ、 A B データに分け、鍵パラメータを対応する A変換鍵パラメ一夕 9 8 1 aと B変換鍵パラメ一夕 9 8 1 bに分け、第 1の論理演算回路により、上記 A Aデータと上記 A変換鍵パラメ一夕 9 8 1 aとの第 1の論理積又は論理和の出力をとり、排他的論理和回路 9 7 1 cにより、該第 1の論理積ノ論理和された出力データと上記 A Bデータとの第 1の排他的論理和をとり、該第 1の排他的論理和された出力データを A Bデータ変換後の出力データとする。第 2の論理演算回路により、上記第 1の排他的論理和出力と B変換鍵パラメータとの第 2の論理積又は論理和をとり、排他的論理和回路 9 7 1 dにより、該第 2の論理積 Z論理和された出力デ一夕と上記 A Aデータとの第 2の排他的論理和をとり、該第 2の排他的論理和された出力データを A Aデータ変換後の出力データとし、上記 A A データ変換後の出力データと A Bデータ変換後の出力データを合わせて、 A出力データ（又は B出力デ一夕）として後段に出力する。

新たに設けたデータ変換部 F L 1〜F L 1 0は、鍵パラメータの値によってその出力が変化する線形関数であるため、差分確率を増加させることなく、差分解読法以外の他の解読法に対する耐性を高めることができる。この非線形変換の動作については、既に先の実施の形態で説明しているので、ここでは言己述を省略する。

また、各データ変換部 FL 1〜FL 10は、必ずしも第 23図に図示した通りでなくてもよい。例えば、データ変換部 FL 1， FL 3, FL 5， FL 7, FL 9を A系統（図中左側）と B系統（図中右側）との片系統のみに挿入してもよく、また、組になる第 1と第 2の副変換処理部のうちの (,、ずれかの副変換処理部のみにデータ変換部を A系統と B系統の両系統または片系統に設けるようにしてもよい。

実施の形態 1 1.

本実施の形態は、実施の形態 9及び実施の形態 10が、本発明のデー夕変換装置の基本構成要素である非線形変換回路を、従来の副変換処理部中の非線形変換回路に入れ子の非線形変換回路として接続構成していたのに対して、本発明のデー夕変換装置の基本構成要素である非線形変換回路を、本発明のデータ変換装置の基本構成要素における副変換処理部中の非線形変換回路に入れ子の非線形変換回路として接続構成した例である。第 25図に示すように、本実施の形態は、実施の形態 10の装置の各構成要素の配置を変えた形となっている。この動作については、先の実施の形態の説明から明らかなので、ここでは詳細な説明は省略する。また、各データ変換部 FL 1〜FL 10の位置は、必ずしも図示した位置でなくてもよいのは、実施の形態 10と同じであり、同様な効果がある。

第 26図は、実施の形態 1〜1 1に述べた特徴をまとめた図である。縦方向に実施の形態 1, 2, 4， 5を示し、横方向にこれら実施の形態 1， 2, 4, 5と組み合わされる実施の形態 3, 6， 7, 8， 9, 1 0, 1 1を示している。実施の形態 1, 2は、副変換処理部の特徴を述ベている。第 2 6図において、実施の形態 1において第 1図に示した副変換処理部の構成をタイプ 1とする。また、実施の形態 2において第 3 図に示した副変換処理部の構成をタイプ 2とする。さらに、実施の形態 3は副変換処理部を入れ子にし、外部副変換処理部と内部副変換処理部を備えたことが特徴である。また、実施の形態 3の内部副変換処理部と区別するために、この第 2 6図では、入れ子構造をとつていない第 1図及び第 3図の副変換処理部を外部副変換処理部と位置づけている。第 2 6図にお t、て、組み合わせが、ずれかの図に図示されている場合は、〇内にその図番を記入している。たとえば、（第 1図）はタイプ 1の副変換処理部が第 1図に図示されていることを示している。また、（第 6図）は、実施の形態 3の外部副変換処理部が夕ィプ 1の副変換処理部で、内部副変換処理部もタイプ 1の副変換処理部で構成された例が第 6 図に図示されていることを示している。また、第 2 6図中、 U 内に記載された複数項目のいずれか 1つの項目が任意に選択可能であることを示している。たとえば、実施の形態 3においては、内部副変換処理部として用いられる副変換処理部はタイプ 1、タイプ 2のどちらのタイプでもかまわないことを示している。図から判るように、実施の形態 1， 2 , 4 , 5と実施の形態 3， 6 , 7 , 8， 9， 1 0， 1 1に示した特徴は、すべて組み合わせることが可能である。また、本発明は、第 2 6図に示す組み合わせに限るものではなく、他の特徴と組み合わせて用いられる場合でもよい。また、組み合わせる場合に限るものでなく、各実施の形態の各特徴だけで用いられる場合でもよい。

次に、この発明に係るデータ変換装置の応用例について説明する。第 2 7図は、この発明に係るデータ変換装置の応用例であるパ一ソナルコンピュータやワークステーションの構成を示す。

データ変換装置 6 0は、ディスプレイュニット 6 1、キ一ボ一ド 6 2、マウス 6 3、マウスパッド 6 4、システムュニット 6 5、コンパクトディスク装置 1 0 0を備えている。

この発明のデータ変換装置は、例えば、第 2 7図に示すように、コンパク卜ディスク装置 1 0 0からデ一夕を入力し、データをシステムュニット 6 5に転送し、ディスプレイュニット 6 1に表示するものである。或いは、ディスプレイュニット 6 1に表示されたデータを、コンパクトディスク装置 1 0 0に出力するものである。また、データを変換して図示していない回線を経由して情報を伝送するものである。し力、し、この発明に係るデータ変換装置は、第 2 7図に示したパーソナルコンビユー夕やワークステーションに限る必要はなく、どのような形式であってもよい。例えば、コンパクトディスク装置 1 0 0の代わりに、ビデオプレ一ャを入力装置にしても構わないし、ネットワークからのデータを入力するようにしても構わない。また、入力するデ一夕は、アナログデ一夕であっても構わないし、デジタルデー夕であっても構わな、。

また、本発明のデ一夕変換装置は、第 2 7図に示すように、独立した筐体で存在しても構わないが、第 2 8図に示すように、プリンタ 6 6やスキャナ 6 8やファクシミリ装置 6 9等の周辺装置の筐体の内部に納められているものでも構わない。また、その他テレビカメラや測定機や計算機等のシステムボ一ドの一部分として存在している場合であっても構わない。また、第 2 8図には示していないが、第 2 8図に示した各装置を口一カルエリアネットワークで接続し、互いに符号化した情報を伝送する場合であっても構わない。また、 I S D N等の広域ネットワークを用、て符号化した情報を送受信するような場合であつても構わな、。産業上の利用可能性

以上のように、この発明によるデータ変換装置は、副変換処理部の構成を変えて入力データを部分的に並列処理できるようにしたので、差分確率の優れた高速なデータ変換ができ、情報処理装置やデータ通信装置の暗号装置等として有用である。

また、回路中に帰還ループを設けて同一要素を反復利用する構成としたので、暗号化装置等の回路規模を削減して高速処理する場合に適している。

Claims

請求の範囲

1. 任意の 2つの A入力データ（101) と B入力データ（102) に対し、上記 A入力データを第 1の鍵パラメータ（1 1 1) で第 1の非線形変換をし、該第 1の非線形変換された出力データと上記 B入力データ (102) との排他的論理和を B中間データとして出力し、上記 B入力デ一夕をそのまま A中間データとして出力する構成と、

上記 A中間デ一タを第 2の鍵パラメータで第 2の非線形変換をし、該第 2の非線形変換された出力デ一夕と上記 B中間データとの排他的論理和を次の B中間デ一夕として出力し、上記 B中間デ一夕をそのまま次の A中間デ一夕として出力する構成を備え、

上記の構成を縦続接続して、最終の A中間データと B中間データを変換後の出力データ（103と 104) とするデータ変換装置。

2. 第 1の非線形変換の入力側から第 2の非線形変換の入力側までに存在する第 1の非線形変換回路（131) と排他的論理和回路（141) を第 1の副変換処理部（121) とし、第 2の非線形変換の入力側から次の第 1の非線形変換の入力側までに存在する第 2の非線形変換回路 (132) と排他的論理和回路（142) を第 2の副変換処理部（ 12 2) とする場合と、

第 1の非線形変換の出力側から第 2の非線形変換の出力側までに存在する排他的論理和回路（141) と第 2の非線形変換回路（132) を第 1の副変換処理部（161) とし、第 2の非線形変換の出力側から次の第 1の非線形変換の出力側までに存在する排他的論理和回路（14 2 ) と第 1の非線形変換回路（133) を第 2の副変換処理部（ 16 2 ) とする場合とのいずれかの構成を備え、

上記第 1の副変換処理部（ 121又は 161 ) と、上記第 2の副変換処理部（122又は 162) とを交互に必要段数接続し、最終段は第 1 又は第 2いずれかの副変換処理部から出力される A中間データと B中間データを変換後の出力データとすることを特徴とする請求の範囲第 1項記載のデータ変換装置。

3. 第 1又は第 2の非線形変換に際しては、その副変換処理部（22

1 ) への A入力データ（101) を任意の桁数で分けて A 1入力側に入力される A 1入力データ（301) と A2入力側に入力される A2入力データ（302) とし、また、鍵パラメータ（1 1 1) も任意の桁数で分けて第 1の分割鍵パラメータないし第 nの分割鍵パラメ一夕（31 1 〜313) とし、

上記 A入力データ（101) を分けた A 1入力データ（ 301 ) を第 1の分割鍵パラメータ（31 1) で内部非線形変換し、該内部非線形変換された出力デ一夕と上記 A2入力デ一夕（302) との排他的論理和を第 1の A 2内部中間データ（306) として出力し、上記 A 2入力データ（302 ) をそのまま第 1の A 1内部中間データ（305) として出力する第 1の内部副変換処理部（321) と、

上記第 1の内部副変換処理部（ 321 ) の第 1の A 1内部中間データ (305) を A 1入力データとして第 2の分割鍵パラメータ（312) で内部非線形変換し、該内部非線形変換された出力データと上記第 1の A 2内部中間データ（306) を A 2入力デ一夕として該 A 2入力デー夕との排他的論理和を第 2の A 2内部中間データ（308) として出力し、上記第 1の A 2内部中間データ（ 306) をそのまま第 2の A 1内部中間データ（307) として出力する第 2の内部副変換処理部（32

2) と、

上記第 1の内部副変換処理部（321) と、上記第 2の内部副変換処理部（322) とを交互に n段接続し、最終段の A 1内部中間データ ( 3 0 3 ) と A 2内部中間デ一夕（3 0 4 ) を合わせて変換結果（ 1 0 9 ) とする非線形変換をすることを特徴とする請求の範囲第 2項記載のデータ変換装置。

4 . 各副変換処理部中の非線形変換に際しては、その副変換処理部（2 2 1 ) への A入力データを任意の桁数で分けて A 1入力データと A 2入力データとし、また鍵パラメータも任意の桁数で分けて第 1の分割鍵パラメ一夕ないし第 nの分割鍵パラメータとし、

上記 A入力データを分けた A 1入力データを第 1の分割鍵パラメ一夕で内部非線形変換し、該内部非線形変換された出力データを第 1の A 2 内部中間データとして出力し、上記 A 1入力データと A 2入力データとの排他的論理和を第 1の A 1内部中間データとして出力する第 1の内部副変換処理部と、

上記第 1の内部副変換処理部の第 1の A 1内部中間データを A 1入力デ一タとして第 2の分割鍵パラメータで内部非線形変換して第 2の A 2 内部中間データとして出力し、上記第 1の A 1内部中間データと第 1の A 2内部中間データを A 1入力データと A 2入力データとして排他的論理和をとり第 2の A 1内部中間データとして出力する第 2の内部副変換処理部と、

上記第 1の内部副変換処理部と、上記第 2の内部副変換処理部とを交互に n段接続し、最終段の A 1内部中間データと A 2内部中間データを合わせて変換結果とする非線形変換をすることを特徴とする請求の範囲第 2項記載のデータ変換装置。

5 . 任意の 2つの A入力データ（1 0 1 ) と B入力デ一夕（1 0 2 ) に対し、上記 B入力データ（1 0 2 ) を第 1の鍵パラメータ（1 1 1 ) で非線形変換し、該非線形変換された変換結果（4 5 1 ) と上記 A入力データ（1 0 1 ) との排他的論理和を B中間データ（4 6 2 ) として出力し、また、上記 B入力データ（1 02) をそのまま A中間デ一夕（4 61 ) として出力する副変換処理部（421) を備え、

上記 A中間データと B中間データを A入力データと B入力デ一夕として各鍵パラメータによる副変換処理部を必要段数接続する構成とし、最終段の A中間データと B中間デ一夕を合わせて変換後の出力データとするデータ変換装置であって、

更に、各副変換処理部（421) 中の非線形変換に際しては複数の内部副変換処理部（ 521〜 523 ) に分け、該内部副変換処理部（ 52 1 ) への B入力データを任意の桁数で分けて B 1入力データ（501) と B 2入力データ（502) とし、また、鍵パラメ一夕（1 1 1) も任意の桁数で分けて第 1の分割鍵パラメータないし第 nの分割鍵パラメ― 夕（51 1〜 523) とし、

上記 B入力データ（102) を分けた B 1入力データ（501) を第 1の分割鍵パラメータ（ 51 1 ) で第 1の内部非線形変換し、該第 1の内部非線形変換された出力データと上記 B 2入力データ（ 502) との排他的論理和を第 1の B 2内部中間データ（ 506 ) として出力し、上記 B 2入力デ一夕（502) をそのまま第 1の B 1内部中間デ一夕（5 05 ) として出力する第 1の内部副変換処理部（521) と、

上記第 1の内部副変換処理部（521) の第 1の B 1内部中間データ (505) を B 1入力データとして第 2の分割鍵パラメ一夕（512) で内部非 ¾形変換し、該内部非線形変換された出力データと上記第 1の B 2内部中間データ（506) を B 2入力データとして、該 B 2入力デ一夕との排他的論理和を第 2の B 2内部中間データ（ 508) として出力し、上記第 1の B 2内部中間データ（506) をそのまま第 2の B 1内部中間データ（507) として出力する第 2の内部副変換処理部 (522) と、上記第 1の内部副変換処理部と、上記第 2の内部副変換処理部とを交互に n段接続し、最終段の B 1内部中間データ（503 ) と B 2内部中間データ（504) を合わせて非線形変換後の変換結果（45 1 ) とするようにしたデータ変換装置。

6. 各内部副変換処理部での排他的論理和の演算を実行する位置を変えて、 B 1入力データに内部非線形変換を施して B 2内部中間デ一夕出力とし、また B 2入力データと B 1入力データとの排他的論理和を B 1内部中間データとして出力する構成としたことを特徴とする請求の範囲第 5項記載のデータ変換装置。

7. 任意の 4つのそれぞれ A 1入力データ（60 1 ) 、 A2入力データ (70 1 ) と B 1入力データ (602) 、 B 2入力データ（ 702 ) に対し、各副変換処理に際しては上記 A 1入力データと B 1入力データ間、 A 2入力データと B 2入力データ間で非線形変換と排他的論理和演算を行い、それぞれ B 1中間データ（606) と B 2中間データ（ 706) とし、 B 1入力データと B 2入力デ一夕をそのまま A 1中間データ（6 05) と A2中間データ（705) とすることを特徴とする請求の範囲第 5項ないし請求の範囲第 6項記載のデータ変換装置。

8. A入力データと B入力データ及び各 A中間デ一夕と B中間データの分け方を Aと Bとで等しい桁数になるよう均等に分割することを特徴とする請求の範囲第 1項又は請求の範囲第 5項いずれか記載のデータ変換

9. 任意の 2つの A入力データと B入力データに対し、

B入力データをそのまま第 1の A中間デ一夕として出力する第 1ステツプ（S 1) と、

上記 A入力データを第 1の鍵パラメータで非線形変換し、該非線形変換後の出力デー夕と上記 B入力デー夕との排他的論理和をとり第 1の B 中間デ一夕として出力する第 2ステップ（S 2) と、

上記第 1の B中間デー夕を入力し、そのまま第 2の A中間データとして出力する第 3ステップ（S 3) と、

上記第 1の A中間デー夕を入力して第 2の鍵ノ、。ラメ一夕で非線形変換し、該非線形変換後の出力データと、上記第 1の B中間データとの排他的論理和をとり、第 2の B中間デ一夕として出力する第 4ステップ（S

4) とを備え、

上記第 1から第 4ステップ（S 1〜S 4) を繰り返し、最後は第 2又は第 4ステップで終えるようにし、また、最終 A中間デ一夕と B中間データを変換デ一夕とするデータ変換方法。

10. 任意の 2つの A入力データと B入力データに対し、

A入力データと B入力データとの排他的論理和を第 1の A中間デ一夕として出力する第 1ステップ（S 1 1) と、

上記 A入力データを第 1の鍵パラメータで非線形変換し、該非線形変換後の出力データを第 1の B中間データとして出力する第 2ステツプ (S 12) と、

上記第 1の A中間データと第 1の B中間データとの排他的論理和を第 2の A中間データとして出力する第 3ステップ（S 13) と、

上記第 1の A中間データを入力して第 2の鍵パラメ一夕で非線形変換し、該非線形変換後の出力データを第 2の B中間データとして出力する第 4ステップ（S 14) とを備え、

上記第 1から第 4ステップ（S 1 1〜S 14) を繰り返し、最後は第 2又は第 4ステップで終えるようにし、また、最終 A中間データと B中間データを変換データとするデータ変換方法。

1 1. 第 1の非線形変換の入力側から第 2の非線形変換の入力側までに存在する第 1の非線形変換回路（131) と排他的論理和回路（ 14 1 ) を第 1の副変換処理部（ 121 ) とし、第 2の非線形変換の入力側から次の第 1の非線形変換の入力側までに存在する第 2の非線形変換回路（ 132 ) と排他的論理和回路（142) を第 2の副変換処理部（ 1 22) とする場合と、

第 1の非線形変換の出力側から第 2の非線形変換の出力側までに存在する排他的論理和回路（141) と第 2の非線形変換回路（ 132) を第 1の副変換処理部（161) とし、第 2の非線形変換の出力側から次の第 1の非線形変換の出力側までに存在する排他的論理和回路（14 2 ) と第 1の非線形変換回路（133) を第 2の副変換処理部（ 16 2) とする場合とのいずれかの構成を備え、

上記第 1の副変換処理部と、上記第 2の副変換処理部とを交互に必要段数接続し、最初の第 1の副変換処理部の入力側にデータ選択部（15 6 aと 156 b) を付加し、また、最後の第 1と第 2のいずれかの副変換処理部の出力側にデータ保持部（ 157 aと 157 b) を付加し、また、鍵パラメータ供給部（158) を付加し、

最初に任意の 2つの A入力データと B入力データを上記データ選択部 ( 156 aと 156 b ) で選択入力し、該選択入力が終わると次回以降は上記データ保持部（ 157 aと 157 b) の出力を選択入力するよう帰還接続をして必要な回数だけ繰り返し変換処理をし、その際、鍵パラメータ供給部（158) は繰り返し変換処理に対応して、各副変換処理部へ鍵パラメータを供給し、最終回は上記データ保持部（ 157 aと 1 57 b) から出力される A中間デ一夕と B中間データを変換後の出力とすることを特徴とする請求の範囲第 1項記載のデータ変換装置。

12. 任意の 2つの A入力データと B入力データの桁数を同じとし、また、第 1の非線形変換の入力側から第 2の非線形変換の入力側までに存在する第 1の非線形変換回路（131) と排他的論理和回路（141) と、第 1の非線形変換の出力側から第 2の非線形変換の出力側までに存在する排他的論理和回路（141) と第 2の非線形変換回路（132) とのいずれかを副変換処理部とし、

上記副変換処理部を必要段数接続し、最初の副変換処理部の入力側にデータ選択部（ 156 aと 156 b) を付加し、また、最後の副変換処理部の出力側にデータ保持部（ 157 aと 157 b) を付加し、また、鍵パラメ一夕供給部（158) を付加し、

最初に A入力データと B入力データを上記データ選択部（1 56 aと 1 56 b) で選択入力し、該選択入力が終わると次回以降は、上記デ一夕保持部（157 aと 1 57 b) の出力を選択入力するよう帰還接続をして必要な回数だけ繰り返し変換処理をし、その際、鍵パラメ一夕供給部（158) は繰り返し変換処理に対応して各副変換処理部へ鍵パラメータを供給し、最終回は上記データ保持部（157 aと 157 b) 力、ら出力される A中間データと B中間データを変換後の出力データとすることを特徴とする請求の範囲第 1項記載のデータ変換装置。

13. 第 1又は第 2の非線形変換に際しては、その副変換処理部への A 入力データを任意の桁数で分けて A 1入力データと A 2入力データとし、また、鍵パラメ一夕も任意の桁数で分けて第 1の分割鍵パラメータないし第 nの分割鍵パラメータとし、

上記 A入力データを分けた A 1入力データを第 1の分割鍵パラメータで内部非線形変換し、該内部非線形変換された出力データと上記 A 2入力データとの排他的論理和を第 1の A 2内部中間デ一夕として出力し、上記 A 2入力データをそのまま第 1の A 1内部中間データとして出力する第 1の内部副変換処理部と、

上記第 1の内部副変換処理部の第 1の A 1内部中間データを A 1入力データとして第 2の分割鍵パラメ一夕で内部非線形変換し、該内部非線形変換された出力デ一夕と上記第 1の A 2内部中間データを A 2入力データとして、該 A 2入力デ一夕との排他的論理和を第 2の A 2内部中間データとして出力し、上記第 1の A 2内部中間データをそのまま第 2 の A 1内部中間データとして出力する第 2の内部副変換処理部と、上記第 1の内部副変換処理部と、上記第 2の内部副変換処理部とを交互に n段接続し、最初の第 1の内部副変換処理部の入力側に内部データ選択部を付加し、また、最後の第 1と第 2のいずれかの内部副変換処理部の出力側に内部データ保持部を付加し、また、内部鍵パラメータ供給部を付加し、

最初に A 1入力データと A 2入力データを上記内部データ選択部で選択入力し、該選択入力が終わると次回以降は上記内部データ保持部の出力を選択入力するよう帰還接続をして必要な回数だけ繰り返し内部変換処理をし、その際、内部鍵パラメータ供給部は繰り返し内部変換処理に対応して各内部副変換処理部へ分割鍵パラメータを供給し、最終回は上記内部デ一夕保持部から出力される A 1中間デー夕と A 2中間デ一夕を合わせて変換後の A出力データとする非線形変換をすることを特徴とする請求の範囲第 2項記載のデータ変換装置。

1 4 . 各副変換処理部中の非線形変換に際しては、その副変換処理部への A入力デー夕を任意の桁数で分けて A 1入力データと A 2入力デ一夕とし、また、鍵パラメ一夕も任意の桁数で分けて第 1の分割鍵パラメ一夕ないし第 nの分割鍵パラメ一夕とし、

上記 A入力を分けた A 1入力データを第 1の分割鍵パラメ一夕で内部非線形変換し、該内部非線形変換された出力データを第 1の A 2内部中間データとして出力し、上記 A 1入力データと A 2入力データとの排他的論理和を第 1の A 1内部中間データとして出力する第 1の内部副変換処理部と、上記第 1の内部副変換処理部の第 1の A 1内部中間データを A 1入力デー夕として第 2の分割鍵パラメ一夕で内部非線形変換して第 2の A 2 内部中間データとして出力し、上記第 1の A 1内部中間データと A 2内部中間デー夕を A 1入力データと A 2入力データとして排他的論理和をとり第 2の A 1内部中間データとして出力する第 2の内部副変換処理部と、

上記第 1の内部副変換処理部と、上記第 2の内部副変換処理部とを交互に n段接続し、最初の第 1の内部副変換処理部の入力側に内部データ選択部を付加し、また、最後の第 1と第 2のいずれかの内部副変換処理部の出力側に内部データ保持部を付加し、また、内部鍵パラメ一夕供給部を付加し、

最初に A 1入力データと A 2入力データを上記内部データ選択部で選択入力し、該選択入力が終わると次回以降は、上記内部データ保持部の出力を選択入力するよう帰還接続をして必要な回数だけ繰り返し内部変換処理をし、その際、内部鍵パラメータ供給部は繰り返し内部変換処理に対応して、各内部副変換処理部へ分割鍵パラメータを供給し、最終回は上記内部データ保持部から出力される A 1中間データと A 2中間デ一夕を合わせて変換後の A出力データとする非線形変換をすることを特徴とする請求の範囲第 2項記載のデータ変換装置。

1 5 . 各副変換処理部中の非線形変換への A入力データの分け方を等しい桁数になるよう均等に分割し、第 1の内部副変換処理部のみを必要段数接続することを特徴とする請求の範囲第 1 3項又は請求の範囲第 1 4 項し、ずれか記載のデータ変換装置。

1 6 . 第 1の内部副変換処理部と、第 2の内部副変換処理部とを交互に必要段数接続し、最初の第 1の内部副変換処理部の入力側に内部データ選択部を付加し、また、最後の第 1と第 2のいずれかの内部副変換処理部の出力側に内部データ保持部を付加し、また、内部鍵パラメータ供給部を付加し、

最初に B 1入力データと B 2入力データを上記内部データ選択部で選択入力し、該選択入力が終わると次回以降は、上記内部データ保持部の出力を選択入力するよう帰還接続をして必要な回数だけ繰り返し内部副変換処理をし、その際、内部鍵パラメータ供給部は繰り返し内部副変換処理に対応して各内部副変換処理部へ分割鍵パラメータを供給し、最終回は上記内部データ保持部から出力される B 1中間データと B 2中間デ一タを合わせて変換後の B中間データとするようにしたことを特徴とする請求の範囲第 5項又は請求の範囲第 6項し、ずれか記載のデータ変換

17. 各副変換処理部中の内部副変換処理部への B入力データの分け方を等しい桁数になるよう均等に分割し、第 1の内部副変換処理部のみを必要段数接続することを特徴とする請求の範囲第 16項記載のデ一夕変

18. 各鍵パラメータによる副変換処理部を偶数段接続する構成とし、最初の副変換処理部の入力側にデータ選択部（ 156 aと 156 b ) を付加し、また最後の副変換処理部の出力側にデータ保持部（157 a と 157 b) を付加し、また、鍵パラメータ供給部（158) を付加し、最初に、任意の 2つの A入力データと B入力データを上記データ選択部（156 aと 156 b) で選択入力し、該選択入力が終わると次回以降は上記データ保持部（ 157 aと 157 b) の出力を選択入力するよう帰還接続をして必要な回数だけ繰り返し副変換処理をし、その際、鍵パラメ一タ供給部（158) は繰り返し副変換処理に対応して各副変換処理部へ鍵パラメータを供給し、最終回は上記データ保持部（157 a と 157 b) から出力される A中間データと B中間データを変換後の出力データとすることを特徴とする請求の範囲第 5項又は第 6項いずれか記載のデータ変換装置。

19. 非線形変換回路として、少なくともそのどれかにガロア体上の元 Xの n乗回路を用いることを特徴とする請求の範囲第 1項又は請求の範囲第 5項 L、ずれか記載のデ一夕変換装置。

20. ガロア体上の元 Xの n乗回路を、正規基底で構成することを特徴とする請求の範囲第 19項記載のデータ変換装置。

21. 非線形変換回路の少なくとも一部に Re a d On l y Mem o r yを用いることを特徴とする請求の範囲第 1項又は請求の範囲第 5 項、ずれか記載のデータ変換装置。

22. 非線形変換回路の少なくとも一部に Ra n d om Ac c e s s Memo r yを用いることを特徴とする請求の範囲第 1項又は請求の範囲第 5項いずれか記載のデータ変換装置。

23. 非線形変換回路の少なくとも一部に L o g i c C i r c i u t を用いることを特徴とする請求の範囲第 1項又は請求の範囲第 5項いずれか記載のデータ変換装置。

24. 2つの排他的論理和回路（971 cと 971 d) と、論理積回路と論理和回路とのいずれかからなる 2つの論理演算回路（971 aと 9 7 1 b) を、データ変換部（971) として、第 1の副変換処理部の少なくとも A入力側と B入力側のいずれか一方に付加し、データ変換部 (971) への入力データを任意の桁長の 2つの A Aデータと ABデ一夕に分け、鍵パラメータを対応する A変換鍵パラメータ（981 a) と B変換鍵パラメータ（981 b) に分け、

上記 A Aデータと、上記 A変換鍵パラメータ（981 a) との第 1の Ϊ侖理演算を実行し、該第 1の論理演算された出力デ一夕と上記 A Bデ一夕との第 1の排他的論理和をとり、該第 1の排他的論理和された出力データを A Bデータ変換後の出力データとし、

上記第 1の排他的論理和された出力データと、 B変換鍵パラメ一夕との第 2の論理演算を実行し、該第 2の論理演算された出力データと上記 A Aデータとの第 2の排他的論理和をとり、該第 2の排他的論理和された出力データを AAデータ変換後の出力データとし、上記 AAデータ変換後の出力データと ABデータ変換後の出力データを合わせて出力することを特徴とする請求の範囲第 2項記載のデータ変換装置。

25. 第 1と第 2の系統のデータ（Aと B) を入力し、鍵パラメータ ( 1 1 1〜 1 14) を用いて非線形変換処理し、非線形変換処理された第 1と第 2の系統のデータ（Aと B) を出力するデータ変換装置において、

第 1の系統のデータ（A) を鍵パラメータを用いて非線形変換処理する非線形変換回路（ 1 3 1〜 1 34 ) と、

第 1と第 2の系統のデータ（Aと B) の排他的論理和を演算する排他的論理和回路（ 14 1〜 144 ) とを有する副変換処理部（ 1 2 1〜 1 24、又は 1 6 1〜 1 64 ) を少なくとも 2つ、第 1の副変換処理部 ( 12 1又は 1 6 1 ) 及び第 2の副変換処理部（ 1 22又は 1 62 ) として備え、

第 1の副変換処理部（1 2 1又は 1 6 1) から出力される第 1と第 2 の系統のデータ（ Aと B ) を第 2の副変換処理部（ 1 22又は 1 62 ) の第 2と第 1の系統のデータ（Bと A) として入力し、第 1と第 2の副変換処理部（1 2 1と 1 22、又は 1 6 1と 1 62) の非線形変換回路 (1 3 1と 1 32、又は 1 32と 1 33) の非線形変換処理を同時に実行することを特徴とするデータ変換装置。

26. 上記データ変換装置は、第 1と第 2の系統のデータとして A入力データ（1 0 1) と B入力データ（1 02) を入力し、 A出力データ (103) と B出力データ（104) を出力するとともに、

上記第 1の副変換処理部（121) は、上記 A入力データを第 1の鍵パラメータで第 1の非線形変換をし、該第 1の非線形変換された変換データと、上記 B入力デ一タとの排他的論理和を B中間データとして出力し、また、上記 B入力データをそのまま A中間データとして出力し、上記第 2の副変換処理部（122) は、上記 A中間データを入力し、第 2の鍵パラメータで第 2の非線形変換をし、該第 2の非線形変換された変換デー夕と、上記 B中間デ一夕との排他的論理和を B中間デー夕として出力し、また、上記 B中間データをそのまま A中間データとして出力し、

上記第 1の副変換処理部（121) と、上記第 2の副変換処理部（ 1 22) とを交互に接続し、第 1と第 2のいずれかの副変換処理部（12 1又は 122) から出力される A中間データと B中間データを、 A出力データと B出力データとして出力することを特徴とする請求の範囲第 2 5項記載のデータ変換装置。

27. 上記データ変換装置は、第 1と第 2の系統のデータとして、 A入力データ（101) と B入力データ（102) を入力し、 A出力データ (103) と B出力データ（104) を出力するとともに、

上記第 1の副変換処理部（ 161 ) は、上記 A入力データを第 1の鍵パラメータで第 1の非線形変換をし、第 1の非線形変換された変換デ一夕を B中間データとして出力し、また、上記 B入力デ一夕と上記 A入力データとの排他的論理和を A中間データとして出力し、

上記第 2の副変換処理部（162) は、上記 A中間データを入力し、第 2の鍵パラメータで第 2の非線形変換をし、該第 2の非線形変換された変換データを B中間データとして出力し、また、上記第 1の副変換処理部（161) から出力された B中間データを入力し、入力した B中間データと上記 A中間デー夕との排他的論理和を A中間データとして出力し、

上記第 1の副変換処理部（161) と、上記第 2の副変換処理部（1 62) とを交互に接続し、第 1と第 2のいずれかの副変換処理部（16 1又は 162) から出力される A中間データと B中間データを、 A出力データ（103) と B出力データ（104) として出力することを特徴とする請求の範囲第 25項記載のデータ変換装置。

28. 上記第 1の副変換処理部（ 1 21又は 161又は 125 ) と上記第 2の副変換処理部（ 122又は 162又は 126 ) とを縦続接続した基本構成と、

該基本構成による非線形変換を所定の回数だけ繰り返し処理する繰り返し処理音 (154) と、

上記第 1の副変換処理部の非線形変換処理及び第 2の副変換処理部の非線形変換処理に供給される第 1の鍵パラメータ及び第 2の鍵パラメ一タとして、繰り返し処理の回数に対応した鍵パラメータを供給する鍵パラメ一夕供給部（158) と力、らなり、

所定の回数の繰り返し処理後の A中間デ一夕（107) と B中間デー夕（108) を、 A出力データ（103) と B出力デ一夕（104) とすることを特徴とする請求の範囲第 25項記載のデータ変換装置。

29. 第 1と第 2の系統のデータ（Aと B) を入力し、鍵パラメータを用いて非線形変換し、非線形変換された第 1と第 2の系統のデ一夕（A と B) を出力するデータ変換装置において、

第 1と第 2の系統のデータ（Aと B) を入力して、

第 1の系統のデータ（A) を鍵パラメ一夕を用いて非線形変換処理する非線形変換回路（ 131 ) と、 - 第 1と第 2の系統のデータの排他的論理和を演算する排他的論理和回路（ 141 ) とを有する副変換処理部（121) と、

副変換処理部（1 21) の出力である第 1と第 2の系統のデータ（A と B) を、副変換処理部の入力である第 1と第 2の系統のデータ（Aと

B ) として繰り返し入力して所定の回数の繰り返し処理を行う繰り返し処理部（154) と、

副変換処理部の非線形変換回路への鍵パラメータとして、繰り返し処理に対応する鍵パラメータを供給する鍵パラメ一夕供給部（158) とを備えたことを特徴とするデータ変換装置。

30. 上記非線形変換回路（231) は、入力した第 1の系統のデータ (A) を任意の桁数で 2つの第 1と第 2の分割データ（ 1と八2) に分割する内部分割部（351) と、

鍵パラメータを任意の桁数で分割鍵パラメ一夕に分割して分割鍵パラメータを供給する鍵パラメータ供給部（158) と

を備え、

第 1と第 2の分割データ（A 1と A2) を入力して、

第 1の分割データ（A1) を分割鍵パラメ一夕（31 1〜313) を用いて非線形変換処理する内部非線形変換回路（ 331〜 333 ) と、第 1と第 2の分割データ（A 1と A2) の排他的論理和を演算する内部排他的論理和回路（ 341 ~ 343 ) とを有する内部副変換処理部 (321〜323) を少なくとも 2つ、第 1の内部副変換処理部（32

1 ) 及び第 2の内部副変換処理部（322) として備え、

第 1の内部副変換処理部から出力される第 1と第 2の分割データ（A 1と A2) を第 2の内部副変換処理部の第 2と第 1の分割データ（A2 と A 1) として入力し、第 1と第 2の内部副変換処理部（321と 32 2 ) の內部非線形変換回路（ 331と 332 ) の非線形変換処理を同時に実行することを特徴とする請求の範囲第 25項記載のデータ変換装置。

31. 第 1と第 2の系統のデ一夕（Bと A) を入力し、鍵パラメータを用いて非線形変換し、非線形変換された第 1と第 2の系統のデータ（B と A) を出力するデータ変換装置において、

第 1の系統のデータ（B) を鍵パラメータを用いて非線形変換処理す

5 る非線形変換回路（431) と、

第 1と第 2の系統のデータの排他的論理和を演算する排他的論理和回路（441 ) とを有する副変換処理部（421) とを備え、上記非線形変換回路（431) は、入力した第 1の系統のデータ

(B) を任意の桁数で 2つの第 1と第 2の分割データ（81と82) に

10 分割する内部分割部（551) と、

鍵パラメ一夕を任意の桁数で分割鍵パラメータに分割して分割鍵パラメータを供給する鍵パラメータ供給部（158) とを備え、第 1と第 2の分割データ（B 1と B 2) を入力して、

第 1の分割データ（B 1) を分割鍵パラメータを用いて非線形変換処 15 理する内部非線形変換回路（ 531〜 533 ) と、

第 1と第 2の分割データの排他的論理和を演算する排他的論理和回路 (541 -543) とを有する内部副変換処理部（ 521〜 523 ) とを少なくとも 2つ、第 1の内部副変換処理部（521) 及び第 2の内部副変換処理部（522) として備え、

20 第 1の内部副変換処理部（521) から出力される第 1と第 2の分割データ（B 1と B 2) を第 2の内部副変換処理部（522) の第 2と第 1の分割のデータ（82と81) として入力し、第 1と第 2の内部副変換処理部（ 521と 522 ) の内部非線形変換回路（ 531と 532 ) の非線形変換処理を同時に実行することを特徴とするデータ変換装置。

•25