[发明专利]认证加密设备、认证加密方法以及用于认证加密的程序

说明书

为了获得单次通过且单速率的认证加密，能够执行并行处理且仅通过一个加密函数整体执行加密和解码处理。一种认证加密设备包括认证加密装置，用于每两块应用使用指派有用于轮函数的辅助变量的加密函数的两轮Feistel结构给输入明文或加密文本，由此生成加密文本或解码的明文。认证加密装置当将明文每两块分为组块时得到对应于第i个明文组块MC[i]＝(M[i_1],M[i_2])的加密文本组块CC[i]＝(C[i_1],C[i_2])为：C[i_1]＝F_K((N,Tw_i_1),M[i_1])xor M[i_2],C[i_2]＝F_K((N,Tw_i_2),C[i_1])xor M[i_1]。

技术领域

本发明涉及用于通过使用公共密钥执行认证加密的认证加密设备、加密设备、解码设备、认证加密方法以及用于认证加密的程序。

背景技术

认证加密(AE)是用于通过使用之前共享的秘密密钥对明文消息进行加密且同时向其给出消息认证代码(MAC)的技术。认证加密的使用使得被保护的内容避免被窃听，并且检测未认证的操作。如果认证加密被应用于通信路径，可以获得对要发送的内容的强保护。

下面将描述认证加密的基本输入和输出。共享秘密密钥K的两个人将在下文中被假定为是Alice和Bob，认证加密所加密的消息被假定为从Alice传送到Bob。

假设认证加密的加密函数和解码函数分别为AEnc_K和ADec_K。假设要加密的明文是M且引入被称为初始矢量的变量N。初始矢量N通常是随机数，具有短的固定长度或者由Alice生成的计数器。

首先将描述Alice侧的加密处理。Alice生成初始矢量N，然后执行(C,T)＝AEnc_K(N,M)。这里，AEnc_K被称为加密函数，使用密钥K作为参数，C被称为加密的文本，且T被称为认证标签，这些是用于检测更改的固定长度的变量。Alice传送初始矢量N、生成的加密文本C和生成的认证标签T的组合(N,C,T)给Bob。

下面将描述Bob侧的解码处理。这里，Bob从Alice接收到的信息被假定为(N’,C’,T’)。当从Alice接收到信息时，Bob执行ADec_K(N’,C’,T’)作为解码处理。ADec_K是使用密钥K作为参数的解码函数。如果通信在中间被修改且(N’,C’,T’)不同于(N,C,T)，假定指示更改的符号为￥bot，ADec_K(N’,C’,T’)输出￥bot。没有更改且在(N’,C’,T’)＝(N,C,T)的情况下，ADec_K(N’,C’,T’)输出解码的明文M’，该明文M’具有与由Alice加密的明文M相同的内容。由此，M被正确解码。

实践中，输入和输出在许多情况下包括被称为报头H的变量。报头H不被加密，而是例如要用于表达协议版本等的用于消息认证的信息。

通过包括报头H，加密函数是(C,T)＝AEnc_K(N,M,H)的输入/输出，对明文M加密且给出消息认证代码至明文M和报头H的组合。Alice传送初始矢量N、报头H、生成的加密文本C和生成的认证标签T的组合(N,H,C,T)给Bob。

当获得ADec_K(N’,C’,T’,H’)的输入/输出且(N’,C’,T’,H’)不同于(N,C,T,H)时，解码函数输出指示更改的符号￥bot。当接收到的(N’,H’,C’,T’)未被更改或者建立了(N’,H’,C’,T’)＝(N,H,C,T)时，在接收侧的Bob可以正确地解码M且确认报头H未更改。

输入/输出添加了报头H的认证加密可以被称为具有相关联数据的认证加密(AEAD)，并在下面将被简单标注为“认证加密”，除非另外声明。

认证加密实现方法之一基于一般组成。这是一种使用安全加密系统和安全MAC系统的组合的方法。例如，通过公知的组合Enc-then-Auth，使用两个密钥K1和K2来实现采用(C,T)＝MAC_K2(N,Enc_K1(M))的认证加密。这里，Enc_XX表示在加密系统中使用的加密函数，MAC_XX表示在MAC系统中使用的MAC给出函数。