[发明专利]消息认证码生成装置

说明书

技术领域

本发明涉及利用置换而安全且高效地生成消息的认证码的技术。

背景技术

如果使用消息认证算法，则在两者之间交换消息的情况下，接收者能够确认发送的消息是否被篡改。

在使用消息认证算法对篡改检测进行检查的情况下，在两者之间预先共用密钥K。消息的发送者根据消息M和密钥K生成消息M的认证码T，向接收者发送消息M和认证码T。消息的接收者根据接收到的消息M和密钥K生成认证码T’。如果认证码T和认证码T’一致，则接收者判断为未被篡改，如果不一致，则接收者判断为被篡改。

消息认证算法的安全性用与随机函数之间的不可识别性表示。

消息认证算法F满足不可识别性意味着，考虑与现实世界或理想世界中的任意一方进行对话的识别者D，识别者D无法与任意一方进行对话。

在现实世界中，随机选择密钥K，识别者D选择消息M，能够得到F(K,M)的消息认证码。在理想世界中，针对随机函数R，识别者D选择消息M，能够得到R(M)的输出值。这里，识别者D能够多次选择消息M，能够得到与选择出的消息M对应的F(K,M)或R(M)的输出值。

更严格地讲，考虑输出1比特的值的识别者D。根据识别者D在现实世界中输出1的概率与识别者D在理想世界中输出1的概率之差，对消息认证算法F的不可识别性进行评价。

识别者D在现实世界中能够得到多个消息认证算法F的输出，在理想世界中能够得到多个随机函数R的输出。设此时的消息M的总比特数为σ时，上述概率之差通过使用σ的概率p(σ)进行评价。而且，将概率p(σ)＝1的比特数σ的值称作识别计算量。该比特数σ的值成为识别所需要的计算量，该值越大，则安全性越高。

log₂σ被称作不可识别性的安全性比特。例如，在σ＝2¹²⁸的情况下，安全性比特成为log₂2¹²⁸＝128比特。

在函数F满足不可识别性的安全性的情况下，函数F能够用作消息认证算法，并且，还能够用作伪随机数生成算法。因此，作为Key Derivation Function或流加密等中使用的函数，能够使用函数F。

在非专利文献5中，记载有使用非专利文献7中记载的使用置换函数的海绵结构的哈希函数的消息认证算法。

在非专利文献8中，记载有使非专利文献5中记载的消息认证算法高速化的消息认证算法。

使用非专利文献7中记载的使用置换函数的海绵结构的哈希函数作为非专利文献9的哈希函数H，由此构成消息认证算法。

现有技术文献

专利文献

专利文献1：日本特开2009-129391号公报

专利文献2：日本特开2009-5163号公报

非专利文献

非专利文献1：Mihir Bellare,Ran Canetti,and Hugo Krawczyk.Keying Hash Functions for Message Authentication.CRYPTO 1996.p1-15.

非专利文献2：Mihir Bellare.New Proofs for NMAC and HMAC：Security without Collision-Resistance.CRYPTO 2006.p602-619

非专利文献3：Ralph C.Merkle.One Way Hash Functions and DES.CRYPTO 1989.p428-446

非专利文献4：Ivan Damgard.A Design Principle for Hash Functions.CRYPTO 1989.p416-427

非专利文献5：G.Bertoni,J.Daemen,M.Peeters,and G.V.Assche.On the security of the keyed sponge construction.Symmetric Key Encryption Workshop(SKEW)

非专利文献6：Security of Keyed Sponge Constructions Using a Modular Proof Approach.Elena Andreeva,Joan Daemen,Bart Mennink,and Gilles Van Assche.Fast Software Encryption 2015(FSE 2015).