[发明专利]加密装置、解密装置、加密方法、解密方法、加密程序和解密程序

说明书

加密装置(10)按照每b比特对消息M进行分割，生成数据M[1],...,数据M[m]。加密装置(10)将n＝b+c比特的数据S₀设定为变量S，针对i＝1,...,m的各整数i，按照升序，将变量S作为输入来计算块加密E，对变量S进行更新，将更新后的变量S和对数据M[i]附加c比特的比特串而成的数据X[i]作为输入来计算异或，对变量S进行更新，从更新后的变量S中提取b比特，生成数据C[i]。加密装置(10)连结与i＝1,...,m的各整数i有关的数据C[i]，生成消息M的密文C。加密装置(10)从变量S中提取1以上的整数t比特作为认证码T。

技术领域

本发明涉及使用块加密的认证加密算法。

背景技术

认证加密算法是实现隐匿功能和篡改检测功能的加密算法。当使用认证加密算法时，能够在两者之间隐匿消息后进行通信，并且，接收者能够确认所发送的消息是否被篡改。

认证加密算法具有加密函数Enc和解密函数Dec这2个算法。

加密函数Enc是如下函数：将秘密密钥K、初始参数N、公开数据A和消息m作为输入，输出密文C和篡改检测用的认证码T。另外，初始参数N按照每次加密而使用不同的值。

解密函数Dec是如下函数：将秘密密钥K、初始参数N、公开数据A、密文C和篡改检测用的认证码T作为输入，在密文C等未被篡改的情况下输出消息m，在密文C等被篡改的情况下不输出消息m。

设发送者Alice和接收者Bob使用认证加密算法进行通信。该情况下，发送者Alice根据秘密密钥K、初始参数N、公开数据A和消息m，使用加密函数Enc计算密文C和篡改检测用的认证码T。然后，发送者Alice向接收者Bob发送初始参数N、公开数据A、密文C和篡改检测用的认证码T。接收者Bob将秘密密钥K、初始参数N、公开数据A、密文C和篡改检测用的认证码T设为解密函数Dec的输入。解密函数Dec在初始参数N、公开数据A、密文C和篡改检测用的认证码T均未被篡改的情况下输出消息m。

另外，秘密密钥K事前由Alice和Bob共享。此外，公开数据A是可以公开的值。也可以没有公开数据A。

作为认证加密算法的结构方法，存在非专利文献1记载的使用AES(AdvancedEncryption Standard)等块加密的方法。

块加密由加密函数E和解密函数D构成。加密函数E是如下函数：将密钥K和n比特的消息m作为输入，输出n比特的密文c。将其写作c＝E_K(m)。解密函数D是如下函数：将密钥K和n比特的密文c作为输入，输出n比特的消息m。将其写作m＝D_K(c)。

块加密的消息m和密文c的大小n被称作块大小。在固定密钥K时，块加密的加密函数E和解密函数D成为n比特的置换函数。块大小n是由块加密定义的参数，在AES的情况下n＝128。

认证加密的加密函数Enc使用块加密的加密函数E构成。此外，认证加密的解密函数Dec使用块加密的加密函数E或解密函数D构成。

在认证加密的解密函数Dec使用块加密的解密函数D构成的情况下，在认证加密中使用块加密的加密函数E和解密函数D双方。在认证加密中使用块加密的加密函数E和解密函数D双方的情况下，需要安装加密函数E和解密函数D双方。例如，在利用软件安装的情况下，需要加密函数E和解密函数D双方的程序，在利用硬件安装的情况下，需要加密函数E和解密函数D双方的电路等。

另一方面，在认证加密的解密函数Dec使用块加密的加密函数E的情况下，在认证加密中仅使用块加密的加密函数E。在认证加密中仅使用块加密的加密函数E的情况下，不需要安装解密函数D。因此，软件或硬件的大小较小。将软件的大小和硬件的大小称作安装大小。