技術領域

本發明涉及數據加密裝置，特別涉及對于通過測量執行加密處理時的功率消耗量而解析嵌入在加密模塊中的加密密鑰的攻擊方法來說安全的數據加密裝置。

背景技術

近年來，有人在設想各種以硬件或軟件方式實現的加密模塊進行加密處理時的副信息為線索，進行加密密鑰的解析的解碼法。例如，在被稱為定時攻擊的解碼方法中，利用加密模塊在加密處理上需要的時間根據在加密處理中使用的加密密鑰的值而有盡管很小但是確實存在的不同，來進行加密密鑰的解析。即，在定時攻擊中，利用進行加密處理時的處理時間這樣的副信息，從而進行加密密鑰的解碼。即使在這樣的解碼法之中，作為將進行加密處理時的功率消耗量作為副信息進行解碼的解碼方法，也有人在設想所謂“簡單功耗分析(SimplePower?Analysis)”或“差分功耗分析(Differential?Power?Analysis)”的各種方法。近年來，已被報告這些解碼法還有高性能的測量設備可便宜地獲得的背景，即使對于IC(Integrated?Circuit：集成電路)卡這樣的被實施了加密的實際的產品，也能夠進行解析。此外，有人在設想在進行加密處理時，將從加密模塊產生的電磁波強度作為副信息來解碼的方法等各種各樣的解碼方法。在以下的記述中，將以加密處理時的加密模塊的功率消耗量為線索，從而對加密密鑰進行解析的解碼方法統稱為‘功率解析攻擊’。以下，以功率解析攻擊為例進行說明，但對于使用副信息的其他解碼方法，也可以同樣進行說明。即，本發明不僅適用功率解析攻擊，而且只要是利用在加密處理中由加密模塊產生的副信息進行密鑰的推定的解碼方法，就都適用。

下面說明有關功率解析攻擊的概要。這里，根據對AES(Advanced?Encryption?Standard：高級加密標準)加密(AEC加密的細節參照非專利文獻1)采用功率解析攻擊的例子進行說明。圖1是說明AES加密的處理概要的方框圖。AES加密支持加密密鑰長度為128bit(位)、192bit、256bit的三種長度，在以下，以加密密鑰長度為128bit時進行說明。此外，在AES加密中，根據128bit的加密密鑰，生成128bit×l1個被稱為輪回密鑰(round?key)K0、K1、…、K10的密鑰，但這里作為輪回密鑰已經被生成來說明。即使在圖1中也未圖示有關輪回密鑰生成處理。

(AES加密的處理概要)

下面說明AES加密的加密處理概要。

AES加密的加密處理，對于128bit的明文P，進行與輪回密鑰K0的每比特的異或運算10a、表變換處理(S)10b、線性變換(L1)10c。接著，用輪回密鑰K1進行與上述同樣的一系列的處理(11a～11c)。進而，依次用輪回密鑰K2、K3、…、K9進行同樣的一系列的處理。但是，對于用輪回密鑰K9的一系列的處理，取代線性變換L1，進行線性變換L2(19c)。最后，進行與輪回密鑰K10的每比特的異或運算(19d)，將其結果的值作為密文C。

(表變換S(10b))

下面說明有關表變換10b的處理。再有，表變換11b、12b、…、19b也是相同的處理。

圖2是表示表變換10b的處理的方框圖。輸入的128bit的數據從高位起被每8bit分割，成為8bit×16個的數據。然后，對于各8bit數據，進行利用表變換Tab的表變換處理(100a～100p)。這里，表變換Tab是表示輸入8bit和輸出8bit之間的對應關系的表，具體地說，由8bit×256元素的排列Tab[256]表示，輸入8bit為X時，利用表變換的輸出值Y可作為Y＝Tab[X]獲得。

具體地說，用于AES加密的表變換是Tab[256]＝{63h、7Ch、77h、7Bh、…、BBh、16h}的表。這里，63h的“h”表示“63”是用16進制數表示的。此時，對于輸入03h的表變換的輸出是Tab[2]＝77h，對于輸入FEh(10進制下為254)的表變換的輸出成為Tab[254]＝BBh。

這樣，進行對于各8bit數據的表變換處理。然后，將各輸出結果按與剛才分割時相同的順序連結而形成128bit，并作為128bit的輸出數據Y。

(線性變換L1(10c))

下面說明有關線性變換L1(10c)的處理。再有，線性變換11c、12c、…、18c的處理也是與其同樣的處理。