[发明专利]消息认证装置、消息认证方法及消息认证程序

说明书

消息认证装置将消息M压缩为2n比特的值H，并将值H分割为n比特的两个值H[1]和值H[2]。消息认证装置从值H[1]提取min{t，n/2}比特的两个值U[1]和值U[2]，将消息M和值U[1]作为输入而生成t比特的值V[1]，并且将消息M和值U[2]作为输入而生成t比特的值V[2]。消息认证装置使用值V[1]作为Tweak并利用可调分组密码E加密值H[2]而生成值Z[1]，并且使用值V[2]作为Tweak并利用可调分组密码E加密值H[2]而生成值Z[2]。消息认证装置根据值Z[1]和值Z[2]生成认证码Z。

技术领域

本发明涉及使用可调分组密码(tweakable block cipher)的消息认证技术。

背景技术

当使用消息认证算法时，能够检测数据的篡改。将用消息认证算法处理的数据称为消息。

消息认证算法是将任意长度的消息M和密钥K作为输入并输出固定长度的篡改检测用的认证码Z的函数。

将发送者设为Alice，将接收者设为Bob。在进行使用消息认证算法的篡改检测通信的情况下，Alice和Bob预先共享密钥K。

Alice根据消息M和密钥K，使用消息认证算法生成消息M的认证码Z，并将消息M和认证码Z发送给Bob。Bob接收消息M和认证码Z，根据消息M和密钥K，使用消息认证算法生成认证码Z'。如果接收到的认证码Z与生成的认证码Z'一致则Bob判断为消息M未被篡改，如果不一致则判断为被篡改。

消息认证算法的安全性能够使用伪随机数性。伪随机数性是如下安全性：使用输出0或1的1比特的值的识别者D，并考虑识别者D访问消息认证算法并观测输出值后输出1的概率与识别者D访问随机函数R并观测输出值后输出1的概率之差。该差称为伪随机数性的优势(advantage)。

相对于使用密钥K的消息认证算法F_K，识别者D的优势Adv_F(D)如下。

Adv_F(D)＝Pr[D(F_K)＝1]-Pr[D(R)＝1]

随机选择密钥K。随机函数R的输入为任意长度，输出与F_K的输出长度相同。另外，相对于新的输入，随机选择随机函数R的输出。在被提供与过去相同的输入的情况下，随机函数R的输出成为与过去相同的值。D(F_K)是识别者D访问消息认证算法的情况下的输出值。D(R)是识别者D访问随机函数R的情况下的输出值。

作为消息认证算法F_K的构成方法，有使用可调分组密码的方法。

将Set(K)及Set(T)设为某有限集合。可调分组密码E是将作为Set(K)的要素的密钥K、作为Set(T)的要素的Tweak的值T及n比特的明文P作为输入并输出n比特的密文C的函数。将其书写为C＝E_K(T，P)。另外，可调分组密码的明文及密文的尺寸n称为分组尺寸。当将密钥K和Tweak的值T固定时，可调分组密码E成为n比特的置换。另外，当变更密钥K或Tweak的值T时，成为其他置换。

在非专利文献1、2中记载了可调分组密码E。

在使用可调分组密码来设计消息认证算法的情况下，使用伪随机数性作为消息认证算法的安全性。在评价伪随机数性的情况下，使用密钥K的可调分组密码E_K被置换为可调随机置换π并被评价。另外，此时，使用识别者D访问消息认证算法的查询次数q和在消息认证算法的计算中调用可调随机置换的次数σ。

可调随机置换π将作为Set(T)的要素的Tweak的值T和n比特的明文P作为输入，并输出n比特的密文C。可调随机置换π在固定Tweak的值T时成为n比特的随机置换，在改变Tweak的值T时成为其他随机置换。