消息認證碼生成裝置(10)針對各整數i，將根據消息M生成的值m’[i]和密鑰K作為輸入，通過塊加密E計算值c[i]。消息認證碼生成裝置(10)將與各整數i有關的值c[i]作為輸入，計算維持著值c[i]的隨機數性的值w[1]、值w[2]和值w[3]。消息認證碼生成裝置(10)將值w[2]和密鑰K作為輸入，通過固定密鑰K時成為置換函數的函數e計算值K’，將值w[1]和值K’作為輸入，通過塊加密E計算值c，將值w[3]和值c作為輸入，通過固定值w[3]時成為置換函數的函數d計算認證碼T。

技術領域

本發明涉及利用塊加密而安全且高效地生成消息的認證碼的技術。

背景技術

如果使用消息認證算法，則在兩者之間交換消息的情況下，接收者能夠確認所發送的消息是否被篡改。

在使用消息認證算法進行篡改檢測的情況下，在兩者之間預先共用密鑰K。消息的發送者根據消息M和密鑰K生成消息M的認證碼T，向接收者發送消息M和認證碼T。消息的接收者根據接收到的消息M和密鑰K生成認證碼T’。如果接收到的認證碼T和所生成的認證碼T’一致，則接收者判斷為未被篡改，如果不一致，則接收者判斷為被篡改。

消息認證算法的安全性用與隨機函數之間的不可識別性表示。

消息認證算法F滿足不可識別性意味著，考慮與現實世界和理想世界中的任意一方進行對話的識別者D，無法確定識別者D與哪一方進行對話。

在現實世界中，隨機選擇密鑰K，識別者D選擇消息M，能夠得到F(K,M)的消息認證碼。在理想世界中，針對隨機函數R，識別者D選擇消息M，能夠得到R(M)的輸出值。這里，識別者D能夠多次選擇消息M，能夠得到與選擇出的消息M對應的F(K,M)或R(M)的輸出值。

更嚴格地講，考慮輸出1比特的值的識別者D。根據識別者D在現實世界中輸出1的概率與識別者D在理想世界中輸出1的概率之差，對消息認證算法F的不可識別性進行評價。

識別者D在現實世界中能夠得到多個消息認證算法F的輸出，在理想世界中能夠得到多個隨機函數R的輸出。此時，針對任意的識別者D，在上述概率之差為p以下且p是能夠忽略的較小值的情況下，消息認證算法F滿足不可識別性。該p被稱作識別概率。

塊加密E將k比特的密鑰K和n比特的明文m作為輸入，輸出n比特的密文c。即，c＝E(K,m)。以下設k≧n。塊加密E在固定密鑰時成為輸入輸出長度為n比特的置換函數。

在非專利文獻4～6中記載有塊加密。

存在基于塊加密的消息認證算法。在基于塊加密的消息認證算法中，消息M被分割成每n比特的消息塊，按照分割后的每個消息塊實施塊加密的計算。

以下說明的調用次數、并列性、密鑰大小影響著基于塊加密的消息認證算法的有效性。

調用次數：有效性根據為了對n比特的消息塊進行計算而調用幾次塊加密而變化。在針對n比特的消息塊調用x次塊加密的情況下，1/x被稱作速率。該速率越接近1，則塊加密的調用次數越少，效率越高。

并列性：在算法能夠進行并列處理的情況下，通過并列進行硬件或多核的運算能夠縮短計算時間，效率較高。

密鑰大小：消息認證算法的密鑰大小根據使用幾個內部的塊加密的密鑰而變化。密鑰大小最小的情況是塊加密的密鑰K僅為一個的情況。即，僅使用一個k比特的密鑰K進行處理的情況。

在對基于塊加密的消息認證算法的識別概率進行評價的情況下，假設塊加密是理想的塊加密，或者密鑰K固定的塊加密E(K,·)是隨機置換。