[发明专利]安全处理装置、安全处理方法、加密信息嵌入方法、程序、存储介质和集成电路

说明书

技术领域

本发明涉及防止非法地窜改和分析程序的技术等。

背景技术

以前，在检测数据的窜改等的目的中广泛使用着电子签名(以下称作 签名)。该签名方法之一有RSA(Rivest Shanir Adleman)签名生成法。在 RSA签名生成法中，通过对签名对象信息M使用签名密钥d进行S＝M^d mod n的运算，生成签名S。

上述的签名密钥d是必须要保护的信息，以下将这样的信息称作秘密 信息。此外，在本说明书中，记号^表示乘方运算，记号*表示乘法。

在此，在执行上述的生成RSA签名的处理中，由于在计算机内的RAM 和CPU的寄存器等存储器上出现了签名密钥d的值，因此，有通过分析这 些存储器来非法取得签名密钥d的危险性。

作为用于防止这样的非法取得签名密钥d的技术之一，在非专利文献1 中公开了一种不使签名密钥d的值出现在存储器上而进行签名生成的方法。

在非专利文献1的方法中，首先求满足签名密钥生成式d＝(d1*d2) +d3的d1、d2、d3。在此，d1、d2和d3是上述的分割密钥，将根据签名 密钥生成分割密钥称作签名密钥的分割。

基于该分割密钥(d1、d2、d3)和签名密钥生成式，按照

S1＝M^d1 mod n

S2＝S1^d2 mod n

S＝S2*M^d3 mod n 的顺序进行运算。这样，不使用签名密钥d而得到与RSA签名生成式S＝ M^d mod n相同的签名S。此外，在签名生成处理中，由于在存储器上不是 出现签名密钥d，而是出现分割密钥(d1、d2、d3)，因此，能够保护签名 密钥d。

非专利文献1：“签名生成软件的随机数据搜索的抗窜改性评价”横滨国 立大学本田洋之松本勉SCIS2005

但是，在上述的方法中，由于签名密钥生成式总是固定的，因此，能 够通过对签名生成部进行静态分析来确定签名密钥生成式。

另外，由于每次利用相同的分割密钥，因此，通过一边改变签名对象 数据一边收集多次的签名生成时的随机数据，进行所谓的看收集到的多个 随机数据相互之间的差分，抽出不变的数据的动态分析，就能够确定分割 密钥。

然后，就产生了若使用利用上述方法确定了的分割密钥和签名密钥生 成式，就能确定签名密钥的问题。

发明内容

鉴于上述问题，本发明的目的在于，提供一种即使是非法分析者进行 了静态分析和动态分析的情况下，也能够隐匿秘密信息的安全处理装置。

为了解决上述问题，本发明的一种安全处理装置，得到与对消息实施 安全运算的情况相同的运算结果，该安全运算使用秘密信息，具有：存储 单元，存储有第一秘密信息生成式和第一安全处理过程，所述第一秘密信 息生成式中输入将秘密信息至少分割为2个的分割秘密信息作为自变量， 根据该分割秘密信息计算出上述秘密信息，所述第一安全运算过程示出使 用了上述秘密信息的安全运算的过程；第一生成单元，作为自变量而输入 运算了至少2个上述分割秘密信息的结果即结合秘密信息，生成在运算上 与上述第一秘密信息生成式等效的第二秘密信息生成式；第二生成单元， 基于上述第二秘密信息生成式中包含的算子，作为自变量而输入上述结合 秘密信息，生成第二安全运算过程，该第二安全运算过程示出与上述第一 安全运算过程等效的运算过程；执行单元，对上述消息实施按照上述第二 安全运算过程的安全运算。

本发明的安全处理装置通过具有上述结构，通过在每次执行安全处理 时，生成上述结合秘密信息，生成第二安全运算过程，执行第二安全运算 过程，由此得到与第一安全运算相同的结果，因此，取代上述秘密信息， 在运算用的存储器上出现每次安全运算都成为不同值的结合秘密信息，每 次执行安全处理时第二安全运算过程都不同，因此，利用静态分析和动态 分析的上述秘密信息的确定变得困难。这样就能够隐匿上述秘密信息。

此外，也可以上述第一秘密信息生成式包含1个以上的运算，上述第 二生成单元从上述第一秘密信息生成式中包含的运算中，随机选择与上述 运算之间满足交换法则、结合法则、分配法则中的任一个的替代运算的某 个运算，通过将选择的运算置换为上述替代运算，生成第二秘密信息生成 式。