[发明专利]加密、解密装置及扩展密钥生成装置、方法以及记录媒体

说明书

                          技术领域

本申请基于2000年7月12日申请的已有日本专利申请No.2000-211686并且宣称有该申请的优先权，该申请的全部内容在此引入为参考。

本发明涉及在加密时和解密时按相反顺序使用多个扩展密钥的加密装置，解密装置以及扩展密钥生成装置，扩展密钥生成方法以及记录媒体。

                          背景技术

为了电子化信息、尤其有关著作权的信息、机密信息或有关私人的信息等的安全控制，加密技术越来越重要。实际上在各种领域以各种形式利用了加密技术。

有各种加密方式，其中之一有公用密钥加密方式。公用密钥加密方式是使用与加密时所用的密钥同一密钥(有公用密钥的情况，也有私有密钥的情况)进行解密的方式。

有各种公用密钥加密方式，其中之一有使用扩展密钥的方式。该方式是基于公用密钥生成比其具有的位数多的总位数的多个扩展密钥。

作为扩展密钥的生成方式之一有对公用密钥采用循环函数(段函数)，基于该输出值生成扩展密钥，同时还对该输出值采用循环函数，基于该输出值生成下一扩展密钥，同时还对该输出值采用循环函数…，像这样，依次采用循环函数，逐个生成扩展密钥。在比，将这样的方式称为循环方式。

作为采用这样的扩展密钥生成方式的公用密钥加密方式例如有公用密钥块加密方式。公用密钥块加密方式具有数据搅拌部对成为处理单位所定位长的块数据依次采用循环函数来进行加密或解密的结构，其典型基本结构有SPN型和Feistel型等。

另外，在生成扩展密钥时采用循环方式时，例如像块加密，要求按与加密时相反的顺序采用扩展密钥。

下面，说明这种方式存在的问题。

图48示出现有加密装置的扩展密钥生成部的结构例。生成部具有串接的循环函数处理部1001₁～1001_n和，分别连接到循环函数处理部1001₁～1001_n的输出的扩展密钥变换部1005₁～1005_n。

在数据搅拌部中，加密处理需要扩展密钥(1)。因此，对公用密钥采用循环函数(1)，求出该输出值，并对其进行扩展密钥变换(1)，从而得到扩展密钥(1)。数据搅拌部采用该扩展密钥(1)进行加密处理。

在数据搅拌部中，加密处理还需要扩展密钥(2)。因此，对循环函数(1)的输出值采用循环函数(2)，求出该输出值，并对其进行扩展密钥变换(2)，从而得到扩展密钥(2)。数据搅拌部采用该扩展密钥(2)进行加密处理。

之后，进行同样处理，在扩展密钥生成部生成扩展密钥，在数据搅拌部进行加密处理。

在此，考虑解密时的处理。

在解密时，需要按与加密时相反的顺序，即扩展密钥(n)→扩展密钥(1)的顺序采用扩展密钥。但是，具有与图48相同结构的扩展密钥生成部的现有的解密装置由于按扩展密钥(1)→扩展密钥(n)的顺序生成扩展密钥，所以需要例如在数据搅拌部的处理之前生成所有扩展密钥，并存储到存储器。

但是，存在例如像IC卡那样只有贫乏的硬件环境的装置没有存储所有解密所需的扩展密钥的剩余存储区域的问题。

为了避免该问题，考虑如图49例示结构的解密装置的扩展密钥生成部。生成部具有串接的循环函数处理部1001₁～1001_n和，串接到最终级的循环函数处理部1001_n的输出，进行与循环函数处理部1001_n～1001₁的循环函数处理相反的处理的循环函数处理部1021_n～1021₂和，分别连接到循环函数处理部1001_n、1021_n～1021₂的输出的扩展密钥变换部1005_n～1005₁。

该结构暂时进行与加密相同的扩展密钥生成处理，求出采用最终级的循环函数而得到的输出值R_n。接着，预先对该输出值R_n在与加密时相反循环方向采用各循环函数的反函数，按扩展密钥(n)→扩展密钥(1)的顺序，即随时(On-the-fly)生成扩展密钥。

但是，由于有进行与最初加密时同一扩展密钥R_n的生成处理所不需要的时间，从而存在在开始解密之前产生时延的问题。