[发明专利]基于分块加密方式的加密装置与方法及译码装置与方法

说明书

本发明涉及基于分块加密方式的加密装置与加密方法以及它的译码装置与译码方法，还涉及到此种加密/译码装置中所用的运算装置。

在公用密钥的分块加密的代表性基本结构中有SPN型和Feistel型。对它们各个的差分/线性译码的强度评价与提高耐用性的设计方法正在研究中(文献[1]V.Rijmen,J.Daemen,B.Preneel,A.Bosselaers,E.Dcwin,“The Cipher SHARK,”Fast Software Encryption,LNCS 1039,1996；文献[2]青木和麻男、太田和夫，“最大平均差分确率及最大平均线形确率更严密的评价”，SCIS 96-4A,1996；文献[3]松井充，“分块加密MISTY”,ISEC 96-11,1996)。

SPN型的基本结构中由于能保证活性S-box数，易于确定用于实现所设强度的段数(文献[1])，但当块长度增大，S-box的并行度提高时，扩展层的处理复杂化，存在降低速度的倾向。

对上述问题作出改进的是SQUARE/Rijndael型加密(文献[4]J.Daemen,L.R Knudsen,V.Rijmen,“The Block Cipher Square”,FastSolftware Encryption,LNCS 1267,1997；文献[5]J.Daemen,V.Rijmen,“AES Proposol；Rijndael,“http://www.east.Kuleuven.ac.be/～rijmen/rijdael/rijndaeldoc V2.zip)。

在这种加密中，将16个并行的S-box排列成4×4的矩阵形式，把线性扩展限制于同一列内来减少处理。此外，通过在线性扩展中将位的位置排列变换加以组合，在某段中的1位影响就能在2段后广拓到所有的位中，在4段中，活性S-box数将达到25个以上(相对于差分/线性译码而言可说是增强了)。

但是由于存在着同一列内的位在下一段不混合的性质，就会有所谓SQUARE攻击的专用攻击方法(文献[1]、[5])。这看来是源于在所谓扩展层只为一种的制约下来兼顾强度与效率两者的结果所致。

结果在先有技术的分块加密方式中，SPN型结构对活性S-box数的下限容易估计，能够进行保证相对于差分/线性译码法强度的设计，在耐攻击性强这点来说是优越的。但是随着明码语句/加密语句的块长度增加，在S-box的并行度增高后，就有扩展层结合部的计算成本也增高的缺点。此外，取决于扩展层的设计，有可能使数据的扩展不均一。

本发明是为了解决上述问题而提出的，其目的在于提供能抑制计算成本并且能作高度均匀扩展的加密装置与加密方法及其译码装置与译码方法，同时提供其中所用的运算装置。

图1说明根据本发明加密方式的第一实施例的基本结构。

图2说明有关加密强度。

图3例示嵌套型的加密方式数据搅拌部的分层结构。

图4例示加密装置的结构。

图5例示S-box。

图6例示扩大的S-box的内部结构。

图7例示小MDS(最大距离分隔)。

图8例示数据搅拌部的一段的结构。

图9示明大MDS的一个例子。

图10示明大MDS的另一例子。

图11示明密钥次序表部的结构例。

图12示明密钥次序表部的另一结构例。

图13示明非线性变换层的内部结构例。

图14示明非线性变换层内部结构的另一例。

图15例示加法常数表。

图16例示有限域乘法装置的结构。

图17例示线性变换装置的结构。

图18例示线性变换装置的结构。

图19示明MDS矩阵生成装置的结构例。

图20是示明MDS矩阵生成处理程序例的流程图。

图21示明MDS矩阵生成装置的另一结构例。

图22示明MDS矩阵生成处理程序另一例的流程图。

图23是示明用于选择S-box与小MDS组合的处理程序例的流程图。

图24例示译码装置的结构。

图25例示扩大S-box的逆变换的内部结构。

图26例示数据搅拌部的结构。

图27例示密钥次序表部的结构。

图28说明根据本发明的加密方式的第二实施例的基本结构。

图29示明第二实施例中数据搅拌部的另一结构例。

图30示明大MDS的另一例子。

图31示明GF(24)上的乘法接线表示。