本發明涉及用于保密密鑰分組密碼(cipher)的擴充密鑰發生器、加密／解密單元和存儲媒體。

在近代計算機和通信技術領域中，發送經加密的傳輸數據并通過解密所接收到數據來恢復接收內容的密碼技術十分普遍。在這種密碼技術中，一般將在加密和解密過程中用到保密密鑰(下面將它稱為公共密鑰)的密碼術算法稱為公共密鑰密碼。在公共密鑰密碼中，把輸入消息分成若干輸入塊，每塊具有固定的長度，而且根據產生密文的密鑰，對分段塊進行隨機化而產生密文。作為公共密鑰密碼，通常用到稱為DES(數據加密標準)的方案。

在基于DES的加密過程中(如圖1A所示)，通過明碼文本(plaintext)的初始置換IP獲得的數據運用循環函數(round?function)經歷16個處理過程。此外，已經歷16個循環函數的數據經歷初始置換的反置換IP^-1，從而獲得密文。另一方面，通過向每個循環函數給出根據初始密鑰產生的擴充密鑰，執行在該循環函數中的處理。

即，根據DES的加密裝置具有用于運用大量的循環函數對要加密的數據隨機化的數據隨機化部分和用于向隨機化部分的每個循環函數提供擴充密鑰的密鑰發生器作為主要構件(principal?building?component)。注意，傳統的密鑰發生器通過用表格或導線重新排列各位、用與數據加密單元的密鑰相同的密鑰或者從密鑰位隨機抽取，來產生密鑰。

在根據DES的解密過程中(如圖1B所示)，要解密的數據以加密時經歷的順序相反的順序經歷16個循環函數。于是，密鑰發生器根據在加密時最后循環函數中用到的密鑰按序產生擴充密鑰。

DES的第一個優點是加密和解密電路的排列；他們可以公共化大多數元件。即，如圖1A和1B所示，將相同的電路用于數據隨機化部分的循環函數，雖然在加密和解密過程中的擴充密鑰的循環順序是相反的。

DES的第二個優點是只要管理少量的密鑰，因為用單個公共密鑰來進行加密和解密。在DES過程中，為了根據獨一公共密鑰以正常和相反的順序來產生擴充密鑰，密鑰發生器執行下列處理。

即，公共密鑰經歷左循環移位(left?rotate-shift)(左循環)來產生每個擴充密鑰。注意，定義循環數量的總值與公共密鑰的位數相匹配，而且最后將中間密鑰返回到初始狀態(公共密鑰)。通過這種方法，可以產生在加密過程中最后擴充的密鑰具有與在解密過程中第一擴充密鑰的值相同的值。一旦解密，公共密鑰就經歷右循環移位(右循環)來以相反順序產生擴充密鑰。

然而，由于密鑰發生器的處理只通過在DES中的置換處理來執行，所以出現通常被稱為弱密鑰的密鑰，它們具有低安全性。注意，弱密鑰意味著具有相同值的擴充密鑰，而且包括所有擴充密鑰K1至K16相等(K1=K2=…K16)的情況以及一般的擴充密鑰K1至K8和K9至K16互等(K1=K16，K2=K15，…，K8=K9)。

然而，產生這種弱密鑰并不是一種威脅，只要通過把用于去除具有產生弱密鑰的模式的公共密鑰的輸入的裝置添加到擴充密鑰發生器，或者通過將一裝置添加到密碼產生裝置，足以對它加以防止，其中該裝置是用于確定所產生的擴充密碼是否是弱密鑰而且如果它們是弱密鑰就去除它們的裝置。

然而，當添加防止弱密鑰的產生的這種裝置時，擴充密鑰發生器和加密／解密的價格上漲，而且它們的電路規模增加。

除了DES之外，還要求這種密碼系統，它通過阻止弱密鑰的產生，對在循環函數各單元中使用不同擴充密鑰能提供密碼術的穩健性(robustness)，而且可以提高密碼術的穩健性。

如上所述，在傳統的擴充密鑰發生器和加密／解密單元中，當添加阻止弱密鑰產生的裝置以避免低安全性，擴充密鑰發生器和加密／解密單元的價格上漲，而且它們的電路規模增加。

甚至當防止了弱密鑰的產生時，在密鑰發生器中的處理對提高密碼術穩健性的貢獻并不是太大，而且要求提高密碼術的穩健性。

考慮到上述情況進行本發明，而且它的目的在于提供一種擴充密鑰發生器、加密／解密單元、擴充密鑰發生方法和存儲媒體，它們可以提高擴充密鑰的隨機性，同時抑制了裝置價格的上漲和電路規模增加，還防止弱密鑰的產生，而且可以提高密碼術的穩健性。