[发明专利]扩充密钥发生器、加密/解密单元、扩充密钥产生方法和存储媒体

说明书

本发明涉及用于保密密钥分组密码(cipher)的扩充密钥发生器、加密／解密单元和存储媒体。

在近代计算机和通信技术领域中，发送经加密的传输数据并通过解密所接收到数据来恢复接收内容的密码技术十分普遍。在这种密码技术中，一般将在加密和解密过程中用到保密密钥(下面将它称为公共密钥)的密码术算法称为公共密钥密码。在公共密钥密码中，把输入消息分成若干输入块，每块具有固定的长度，而且根据产生密文的密钥，对分段块进行随机化而产生密文。作为公共密钥密码，通常用到称为DES(数据加密标准)的方案。

在基于DES的加密过程中(如图1A所示)，通过明码文本(plaintext)的初始置换IP获得的数据运用循环函数(round function)经历16个处理过程。此外，已经历16个循环函数的数据经历初始置换的反置换IP^-1，从而获得密文。另一方面，通过向每个循环函数给出根据初始密钥产生的扩充密钥，执行在该循环函数中的处理。

即，根据DES的加密装置具有用于运用大量的循环函数对要加密的数据随机化的数据随机化部分和用于向随机化部分的每个循环函数提供扩充密钥的密钥发生器作为主要构件(principal building component)。注意，传统的密钥发生器通过用表格或导线重新排列各位、用与数据加密单元的密钥相同的密钥或者从密钥位随机抽取，来产生密钥。

在根据DES的解密过程中(如图1B所示)，要解密的数据以加密时经历的顺序相反的顺序经历16个循环函数。于是，密钥发生器根据在加密时最后循环函数中用到的密钥按序产生扩充密钥。

DES的第一个优点是加密和解密电路的排列；他们可以公共化大多数元件。即，如图1A和1B所示，将相同的电路用于数据随机化部分的循环函数，虽然在加密和解密过程中的扩充密钥的循环顺序是相反的。

DES的第二个优点是只要管理少量的密钥，因为用单个公共密钥来进行加密和解密。在DES过程中，为了根据独一公共密钥以正常和相反的顺序来产生扩充密钥，密钥发生器执行下列处理。

即，公共密钥经历左循环移位(left rotate-shift)(左循环)来产生每个扩充密钥。注意，定义循环数量的总值与公共密钥的位数相匹配，而且最后将中间密钥返回到初始状态(公共密钥)。通过这种方法，可以产生在加密过程中最后扩充的密钥具有与在解密过程中第一扩充密钥的值相同的值。一旦解密，公共密钥就经历右循环移位(右循环)来以相反顺序产生扩充密钥。

然而，由于密钥发生器的处理只通过在DES中的置换处理来执行，所以出现通常被称为弱密钥的密钥，它们具有低安全性。注意，弱密钥意味着具有相同值的扩充密钥，而且包括所有扩充密钥K1至K16相等(K1=K2=…K16)的情况以及一般的扩充密钥K1至K8和K9至K16互等(K1=K16，K2=K15，…，K8=K9)。

然而，产生这种弱密钥并不是一种威胁，只要通过把用于去除具有产生弱密钥的模式的公共密钥的输入的装置添加到扩充密钥发生器，或者通过将一装置添加到密码产生装置，足以对它加以防止，其中该装置是用于确定所产生的扩充密码是否是弱密钥而且如果它们是弱密钥就去除它们的装置。

然而，当添加防止弱密钥的产生的这种装置时，扩充密钥发生器和加密／解密的价格上涨，而且它们的电路规模增加。

除了DES之外，还要求这种密码系统，它通过阻止弱密钥的产生，对在循环函数各单元中使用不同扩充密钥能提供密码术的稳健性(robustness)，而且可以提高密码术的稳健性。

如上所述，在传统的扩充密钥发生器和加密／解密单元中，当添加阻止弱密钥产生的装置以避免低安全性，扩充密钥发生器和加密／解密单元的价格上涨，而且它们的电路规模增加。

甚至当防止了弱密钥的产生时，在密钥发生器中的处理对提高密码术稳健性的贡献并不是太大，而且要求提高密码术的稳健性。

考虑到上述情况进行本发明，而且它的目的在于提供一种扩充密钥发生器、加密／解密单元、扩充密钥发生方法和存储媒体，它们可以提高扩充密钥的随机性，同时抑制了装置价格的上涨和电路规模增加，还防止弱密钥的产生，而且可以提高密码术的稳健性。