• 专利附录
  • 专利说明
  • 权利要求
  • 类似技术
  • 同族专利
  • 引用文献
  • 法律状态
  • 优先权
    • 专利摘要:
    暗号システム(100)は、関数のホワイトボックス実装(102)と、暗号アルゴリズムの実装(104)と、関数の結果に依存しかつ暗号アルゴリズムの結果に依存して、暗号処理されたデータを設定する結合動作の実装(106)とを備える。結合動作は、暗号アルゴリズムの結果を関数の結果と結合するステップを含む。あるいは、結合動作は、関数の結果を、受信されたデータ要素と結合して、結合の結果を得るステップと、その結合の結果に暗号アルゴリズムを適用するステップとを含む。
    公开号:JP2011514091A
    申请号:JP2010549219
    申请日:2009-03-02
    公开日:2011-04-28
    发明作者:ヴィルヘルムス・ペー・アー・イェー・ミヒールス;パウルス・エム・ハー・エム・アー・ゴリッセン
    申请人:イルデト・ビー・ヴイ;
    IPC主号:H04L9-14
    专利说明:

    [0001] 本発明は、暗号システムおよび暗号処理の方法に関する。]
    背景技術

    [0002] 今日、コンテンツは、例えばインターネット、放送媒体、またはCDやDVD等のデジタルデータキャリアを用いて、デジタル形式でユーザが入手できるようになりつつある。テレビ、セットトップボックス、オーディオ機器等の消費者家電(CE)製品は、そうしたデジタルコンテンツをレンダリングするためのデジタルデータ処理機能を備えている。]
    [0003] 正当なユーザへのデジタルコンテンツの配布を管理するためにデジタル権利管理システムが導入されている。通例、デジタル権利管理システムは、正当なユーザのみがコンテンツを解読することを可能にする暗号化技術を用いる。消費者装置内でのそのような暗号化技術の実装は、攻撃者が鍵の値を知ることをより難しくするように難読化(obfuscate)することが可能である。多種のアプリケーションで一般に使用される暗号の例は、DES、AES、RSA、および特許文献1に開示される方法である。]
    [0004] デジタル権利管理システムでの鍵の扱いに関連して、メディアプレーヤは再生のためにライセンスデータベースから解読鍵を取得しなければならない。そして、メディアプレーヤは、暗号化されたコンテンツの解読のためにその解読鍵をメモリ中のどこかに記憶しなければならない。これは、攻撃者に、鍵を攻撃するための2つの選択肢を与える。第1に、ライセンスデータベースへのアクセス機能のリバースエンジニアリングにより、攻撃者は、すべてのライセンスデータベースから価値ある鍵を取得することができる。第2に、コンテンツ解読時にメモリへのアクセスを観察することにより、価値ある鍵を取得することが可能である。どちらの場合も、鍵は危険にさらされると考えられる。]
    [0005] ソフトウェアで実施される暗号システムの分野では、改竄防止ソフトウェア製品の必要性から、攻撃者が暗号鍵を取得することおよび不正コピーを阻止する難読化技術が生まれた。こうした難読化技術の1つは、暗号アルゴリズムのホワイトボックス実装を提供することを伴う。暗号アルゴリズムのホワイトボックス実装とは、ホワイトボックス攻撃、すなわち攻撃者がプロセッサによって実行される命令の一部またはすべてを観察することができる攻撃から、暗号アルゴリズムの内部原理の一部またはすべてを隠蔽する実装である。場合によっては、攻撃者は動作環境に対する何らかの形のコントロールを有し、それにより、暗号動作の少なくとも一部を観察し、実行時にアルゴリズムで使用される暗号鍵の少なくとも一部を特定することができる。例えば、攻撃者は、デバッグ環境または仮想マシンの内部で実装を実行することにより、すべての動作を観察し、データバッファを操作し、実行の流れを監視することができる。]
    [0006] 他の事例では、攻撃者は、暗号アルゴリズムの実行時に、実装の一部またはデータバッファの内容の一部を動作環境から「漏洩」させる、すなわち明らかにさせることができる。例えば、攻撃者は、バッファオーバーフロー攻撃を使用して、暗号実装の一部を抽出できる場合がある。適切な部分が抽出された場合、攻撃者は、それにより暗号鍵または実装中の特定の設定を知り、暗号保護の一部またはすべてを取り消すことができる。]
    [0007] ホワイトボックス実装は、暗号アルゴリズム、特に鍵データの内部原理の一部またはすべてを隠蔽する。これは、各種方式で行うことが可能である。ホワイトボックス実装を作成する一般的な技術は、暗号アルゴリズム内のテーブルの符号化と、個々のステップではなく合成(composition)を表すランダムな全単射との組み合わせを使用するものである。解読鍵と解読アルゴリズムは、実質的に1つのモノリシックなブロックの形にされる。そのブロックのどの部分も、アルゴリズムまたは鍵の内部原理についての情報を一切明らかにしない。実際、ホワイトボックス実装全体が与えられた場合であっても、元のアルゴリズムまたは使用されている解読鍵をリバースエンジニアリングで得ることは極めて難しい。別の技術、例えば欧州特許出願第08155798.5号(整理番号PH010099)に開示される技術は、RSA等の暗号アルゴリズムにおける指数の難読化である。]
    [0008] 現在、ホワイトボックス実装は、限られた数の暗号についてのみ知られている。非特許文献1(以下「Chow 1」と呼ぶ)、および非特許文献2(以下「Chow 2」と呼ぶ)は、暗号アルゴリズム、特にAESやDESとして知られる暗号アルゴリズムのホワイトボックス実装を作成する方法を開示する。]
    [0009] 国際公開第9967918号
    国際公開第2007/105126号]
    先行技術

    [0010] 「White-Box Cryptography and anAES Implementation」、Stanley Chow, Philip Eisen, Harold Johnson、およびPaul C. Van Oorschot著, in Selected Areas in Cryptography: 9th Annual International Workshop, SAC 2002、カナダ、ニューファンドランド州、セントジョンズ、2002年8月15〜16日
    「A White-Box DESImplementation for DRM Applications」、Stanley Chow, Phil Eisen, Harold Johnson, and Paul C. van Oorschot著, in Digital Rights Management:ACMCCS-9 Workshop, DRM 2002、アメリカ合衆国、ワシントンDC、2002年11月18日]
    課題を解決するための手段

    [0011] 暗号アルゴリズムのホワイトボックス実装を作成する、より柔軟性の高い方式があると有利と思われる。この問題により適切に対処するために、本発明の第1の態様では暗号システムが提示され、この暗号システムは、関数のホワイトボックス実装と、暗号アルゴリズムの実装と、関数の結果に依存しかつ暗号アルゴリズムの結果に依存して、暗号処理されたデータを設定する結合動作の実装とを備える。]
    [0012] ホワイトボックス実装であるので、関数によって定義される対応付けが攻撃者によって容易に発見され得ない。したがって、関数のホワイトボックス実装に適切な値を供給することにより、攻撃者が予測することが難しい値の連続が生成されることが可能である。暗号アルゴリズムの結果をホワイトボックス実装の結果と結合することにより、攻撃者が暗号システムを破ることがより難しくなる。事実、ホワイトボックス実装のセキュリティ特性により暗号アルゴリズムの強度が高められる。]
    [0013] 暗号アルゴリズム自体のホワイトボックス実装を提供する必要はない。暗号アルゴリズムは、例えばRSAに基づくことができる。]
    [0014] 関数は、その関数のホワイトボックス実装の入力および出力を監視することで振る舞いを予測するのが難しい関数であることが好ましい。関数は、例えば、DESやAES等のさらに別の暗号アルゴリズムを備えてよい。そのような場合、関数のホワイトボックス実装は、その暗号アルゴリズムのホワイトボックス実装を備えることができる。あるいは、関数はハッシュ関数または乱数生成関数であってもよい。そのような場合、関数のホワイトボックス実装は、適宜、ハッシュ関数または乱数生成関数のホワイトボックス実装を含む。]
    [0015] 結合動作は、例えばXOR演算、または、何らかの正の整数kについての2kを法とする加算からなる。結合動作は、ホワイトボックス実装として実装されても、されなくてもよい。]
    [0016] 上記のホワイトボックス実装を作成する技術を使用することができるが、現在知られる、または今後考案される他のホワイトボックス技術も使用されてよい。好ましくは、ホワイトボックス実装は、サイズが小さ過ぎず、かつ、攻撃者が実装のいずれかの部分(アルゴリズムで使用される鍵を含む)を有する場合に、その部分から、ホワイトボックス実装の対象である関数の機能的に正しいバージョンを導出することが難しいという特性を有する。この想定は、ホワイトボックス実装でしばしば想定されること、すなわち攻撃者が環境に対する完全なコントロールを有するという想定に比べて弱い想定である。ホワイトボックス実装の一部から、攻撃者が、基礎となる鍵、または乱数生成関数の場合には使用されるシードを導出できないことが好ましい。一部のホワイトボックス技術、例えば上述のテーブルの符号化の組み合わせの使用は、攻撃者が環境に対する完全なコントロールを有する場合に、ホワイトボックス攻撃に抵抗するように設計されている。そのような技術は、本発明の目的に適するが、本発明に適する他のより容易なホワイトボックス技術も存在する。一例として、AESのホワイトボックス実装を作成する際には、各ルックアップテーブルの入力と出力を非線形符号化で符号化すれば十分である場合がある。XOR演算に先行するルックアップテーブルの出力(および、それに対応して、XOR演算の後のルックアップテーブルの入力)を線形符号化で符号化することにより、本発明の目的のために、XOR演算をルックアップテーブルによって実装する必要がなくなる。]
    [0017] 添付の特許請求の範囲の独立請求項に、本発明のさらなる態様を定義する。同様に従属請求項は、有利な実施形態を定義する。]
    [0018] 本発明の上記および他の態様について、図面を参照してさらに解説および説明する。]
    図面の簡単な説明

    [0019] 暗号システムの一実施形態の図である。
    暗号システムの別の実施形態の図である。
    暗号化部および解読部を備えるシステムの図である。
    暗号プロセスを説明する図である。]
    実施例

    [0020] 現在、ホワイトボックス実装は、限られた数の暗号(例えばAES、DES、Lombok)についてのみ知られている。以下に、(暗号または他の関数の)知られているホワイトボックス実装の上に、任意の暗号(より一般的には関数)のホワイトボックス実装を構築する一般的な手法の説明を提供する。このホワイトボックス実装は、多くの追加的な処理時間がかからないような方式で構築することができる。]
    [0021] 関数のホワイトボックス実装、暗号アルゴリズムの実装、およびその関数の結果と暗号アルゴリズムの結果に依存して暗号技術で処理されたデータを設定するための結合動作の実装を含む暗号システムを作成することができる。関数のホワイトボックス実装と結合動作のために、暗号システム全体がホワイトボックス実装になる。いくつかの結合動作が可能であるが、そのうちの一部を図1〜図4を使用してより詳細に説明する。図面に図示されない例として、合成を用いて関数と暗号アルゴリズムを組み合わせることが可能である。すなわち、初めに関数を適用し、次いで暗号アルゴリズムを適用する、または初めに暗号アルゴリズムを適用してから関数を適用する。]
    [0022] 図1に、暗号システム100のブロック図を示す。この暗号システムは、暗号技術で処理されるデータを受け取る入力112を有する。例えば、処理されるデータは、暗号化すべき平文、または解読すべき暗号文である。あるいは、処理されるデータは、デジタル署名を生成すべきデータである。暗号システム100は、相補的な暗号システム(図示せず)と併せて使用することができる。システム100が暗号システムからなる場合は、相補暗号システムは解読部からなることができる。一方、システム100が、対応する解読システムからなる場合は、相補暗号システムは、対応する暗号化システムからなることができる。したがって、2つの暗号システムは、一方のシステムが他方のシステムで生成されたメッセージを処理することが可能である場合に、本テキストでは相補システムと呼ぶ。]
    [0023] 暗号システム100は、暗号アルゴリズムの実装104をさらに備える。この実装は、ホワイトボックス実装である必要はないが、ホワイトボックス実装の技術から自ずと知られる技術を少なくとも一部分に使用して暗号アルゴリズムを実装することが可能である。暗号システム104は、解読部または暗号化部からなることができる。典型的には、システム100が解読に使用される場合は、暗号システム104は解読部からなる。それに代えて、システム100が暗号化に使用される場合は、暗号システム104は暗号化部からなる。暗号アルゴリズムの実装104はホワイトボックス実装である必要はないので、使用される暗号アルゴリズムの選択には高い自由度がある。詳細には、ホワイトボックス実装が知られていない暗号アルゴリズム、またはホワイトボックス実装がその他の点で使用するのが不便である可能性のある暗号アルゴリズムが適用できる。]
    [0024] また、暗号システム100は、値xを生成する手段110を備える。この値xは、例えば、入力112によって受け取られたデータに対応する暗号文から導出することが可能である。あるいは、手段110は、所定のインスタンスで増加されるカウンタを備えてもよい。手段110は、相補の暗号システムが再現することが可能な値xを生成するように構成されることが好ましい。これは、値xを相補システムと同期させることによって構成されることが可能であり、値の同期は、xの現在の値の表現を含むメッセージを交換することによって実現することができる。]
    [0025] 値xは、関数のホワイトボックス実装102に提供されることが可能である。この関数は、その入力と出力を分析することによりあまり容易に理解できないことが好ましい。例えば、この関数は、AES等の暗号アルゴリズムからなる。あるいは、ハッシュ関数または乱数生成関数からなってもよい。そのようなホワイトボックス実装を作成する方法は、Chow等から自ずと知られる。]
    [0026] 関数のホワイトボックス実装102および暗号アルゴリズムの実装104によって生成される出力は、結合動作の実装106によって組み合わせられる。結合動作の実装106によって生成される結果は、関数の実装102によって生成される結果と、暗号アルゴリズムの実装104で生成される結果に応じて決まる。図1に、関数の実装102と暗号アルゴリズムの実装104が並行して動作し、互いに独立した結果を生成する状況を示す。結合動作の実装106は、これらの結果を組み合わせて1つの結果にする。したがって、結合動作は、暗号アルゴリズムの結果を関数の結果と組み合わせることを含む。結合動作は、関数と暗号アルゴリズムの独立した結果が単一の結果から抽出できないようなものであることが好ましい。例えば、XOR演算を使用して結果を組み合わせる、または何らかのkについて何らかの値2kを法とする加算が使用される。]
    [0027] 結合動作の実装106の結果は、出力114に提供される。出力114は、例えば、提供された結果より取得されたデータから出力データパケットを作成するパッケージャ(packager)からなることができる。出力114は、例えば放送網やインターネットなどのネットワークを介して、受信者にデータを送信する送信機からなることができる。あるいは、出力114は、実装106から得られた結果を、データのプレゼンテーションを作成するディスプレイまたは増幅器に提供するように構成されてもよい。]
    [0028] 図2に、ここに記載される暗号システムの別の実施形態である暗号システム200を示す。暗号システム200では、結合動作は、関数の結果を受信データ要素と組み合わせて結合の結果を得、その統合の結果に暗号アルゴリズムを適用することを含む。]
    [0029] システム100と同様に、システム200は、入力212、値xを生成する手段210、関数のホワイトボックス実装202、暗号アルゴリズムの実装204、結合動作の実装206、および出力214を備える。ただし、システム200では、実行の順序がシステム100と異なる。システム200は、F(C(y,G(x)))を効率的に計算し、Gは関数を表し、Fは暗号アルゴリズム、Cは結合動作、およびyは、入力212で得られる値を表す。結合動作の実装206は、入力212で得られたデータと、関数のホワイトボックス実装202で生成された結果とを組み合わせることにより、結合の結果を生成し、暗号アルゴリズムの実装204にその結果を処理させる。処理の結果は、出力214に提供される。]
    [0030] 一実施形態では、関数の結果の特定の値を与えられると、結合動作は、暗号アルゴリズムの結果と結合動作の結果との間に1対1の対応を定義する。これは、解読部でデータを一意に解読することを可能にするので、例えばシステム100または200がデータの暗号化に使用される場合に有用である。]
    [0031] 一実施形態では、出力214は、結合動作の結果の表現を含む信号を生成する信号生成器からなる。この信号は、例えば、記憶手段に記憶される、または受信機に送信されることが可能である。信号生成器は、第1の関数への入力の表現を信号に含めるように構成されることが可能である。これは、受信者がこの値を別の方式で得ることができる場合には省略されてよい。結合動作の実装は、関数の単一の結果を暗号アルゴリズムの複数の結果と組み合わせるように構成できる。そのように構成すると、関数の同一の結果を複数回再使用することで効率が向上する。したがって、関数への対応する入力は、信号中に一度のみ含めればよい。]
    [0032] ホワイトボックス実装は、ルックアップテーブルおよびXOR演算を備えることができる。Chow等によると、明示的なXOR演算が、入力と出力の符号化を使用して難読化されたルックアップテーブルに置き換えられる。効率を向上させるために、それらのルックアップテーブルは、明示的なXOR演算に置き換えられてよい。そのようにしても、なお攻撃者がホワイトボックス実装の一部から基礎となる鍵を導出することを阻止するので、アプリケーションによっては十分なホワイトボックスセキュリティが得られることが分かっている。]
    [0033] ホワイトボックス実装をハードウェア装置または特定のユーザにバインドするには、ホワイトボックス実装は、装置および/またはユーザを識別して識別データを得る手段と、識別データに依存して関数の出力を設定する手段とを備えることができる。例えば、ルックアップテーブルの1つまたは複数が、識別データを含むように選択される。その他のルックアップテーブルは、ホワイトボックス実装の最終結果全体が識別データの包含によって変化しないように適合できる。この特徴により、暗号システムの不正使用を阻止することができる。この技術の例は、特許文献2に開示されている。]
    [0034] 図3に暗号化部301および解読部350の一実施形態を示す。暗号化部301は、暗号システム100に基づき、解読部は暗号システム200に基づく。ただし、これは限定ではない。例えば、暗号化部を暗号システム200に基づかせ、解読部を暗号システム100に基づかせることも可能である。例えば、暗号化部301は、コンテンツサーバに含め、音声または映像コンテンツの暗号化に使用され、解読部350は消費者家電装置に含めて、暗号化コンテンツを解読し、コンテンツの再生を許可することができる。暗号化部301と解読部350の間の通信は、インターネット、ケーブルテレビ網等のデジタル放送媒体、またはDVDやBlu-rayディスク等の取り外し可能な記憶媒体を介して行うことができる。図1および図2と同様の要素を識別するために同様の参照符号が記載されている。暗号化部301は以下を備える。
    -第1の暗号アルゴリズム(例えばRSAのような公開鍵暗号化アルゴリズム等の暗号化アルゴリズム)を利用して暗号化するデータを取得する入力112。
    -入力112で取得されたデータを暗号化するように構成された第1の暗号アルゴリズムの実装104。
    -値xを生成する手段110。この手段にはカウンタまたは乱数生成器が使用されてもよい。外部の供給源から値xを取得する、または暗号アルゴリズムの実装104の出力から生成することも可能である。
    -値xに適用される第1の関数の実装102。
    -第1の関数の結果および第1の暗号アルゴリズムの結果に依存して暗号化データを設定する第1の結合動作の実装106。
    -第1の結合動作の結果を表す情報を解読部350に提供する出力114。出力は、第1の関数への入力を表す情報を解読部350に提供することもできる。]
    [0035] 解読部350は、以下を備える。
    -第1の関数への入力を表す情報を取得する入力210。この情報は、暗号化部301の出力114から受け取られる。解読部350内で値xを再現することも可能である。その場合、入力210は、値xを生成する手段110のコピーに置き換えられてよい。
    -暗号化部301の出力114から第1の結合動作の結果を表す情報を取得する入力212。
    -第1の関数への入力を表す情報に少なくとも部分的に基づく値に第2の関数を適用するように構成された第2の関数の実装202。第2の関数は、第1の関数と同じであってよい。ただし、値xが符号化された形態で解読部350に送信される場合は、その符号化が第2の関数によって取り消される。
    -第2の関数の結果および第2の暗号アルゴリズムの結果に依存して、解読されたデータを設定する第2の結合動作の実装206。第2の結合動作の実装206は、まず第1の結合動作106の効果を取り消す。例えば、第1の結合動作が、実装102の出力と実装104の出力の乗算を伴う場合、第2の結合動作は、入力212で得られる値と第2の関数の実装の出力の逆数との乗算を含んで、中間の結合値を得ることができる。その後、第2の結合動作の実装206は、第2の暗号関数の実装204に、その第2の暗号関数を中間の結合値に適用させ、それにより、解読されたデータを生成する。そのために、実装206は、第2の暗号アルゴリズムの実装204を呼び出す制御手段(図示せず)を含むことができる。
    -第1の結合動作の結果を表す情報の少なくとも一部から導出されたデータに暗号アルゴリズムを適用するように構成された第2の暗号アルゴリズムの実装204。第2の暗号アルゴリズムは、例えば、第1の暗号アルゴリズムに使用される暗号アルゴリズムに対応する解読アルゴリズムである。]
    [0036] 第1の関数の実装102もしくは第2の関数の実装202、またはその両方は、それぞれ暗号化部301もしくは解読部350、またはその両方を不正な改竄から保護するためのホワイトボックス実装である。]
    [0037] 図4に、暗号処理の方法を示し、この方法は、関数のホワイトボックス実装を利用して第1の値に関数を適用する(402)ステップと、第2の値に暗号アルゴリズムを適用する(404)ステップと、関数の結果および暗号アルゴリズムの結果に依存して、暗号処理されたデータを設定する結合動作を適用する(406)ステップを含む。図4に示す処理ステップの順序は一例に過ぎず、限定ではない。]
    [0038] 暗号アルゴリズムを関数Fで表す。以下に、関数Fのホワイトボックス実装を説明する。例えば、RSAの暗号化アルゴリズムのホワイトボックス実装を導出することが目標である場合は、F(m)が、メッセージmに関連付けられた暗号文を表し、ハッシュ関数MD4のホワイトボックス実装を導出することが目標である場合は、F(m)は、メッセージmに関連付けられたハッシュ値を表す。]
    [0039] ホワイトボックス実装が利用できる任意の関数をGとする。関数Gは全単射である必要はない。関数Gは、例えば、ハッシュ関数または乱数生成関数である。FおよびGの領域をそれぞれdom(F)およびdom(G)で表し、FおよびGの範囲をそれぞれim(F)およびim(G)と表す。さらに、im(F)内の値のビット長をnとし、dom(G)内の値のビット長をmとする。]
    [0040] 関数Cが、C: im(G)×im(F) → im(F)と定義される。この関数は、2番目の引数が全単射であることが好ましい。Cは効率的に計算できることが好ましい。例えば、C(x,y)=x・yまたはC(x,y)=x+yである。]
    [0041] 次に関数Hが導入される。H: dom(G)×dom(F) → dom(G)×im(F)。関数Hは、H(x,y)=(x,C(G(x),F(y)))によって定義される。]
    [0042] 関数Hは、暗号アルゴリズムを定義する。HがFおよびGから構成される方式を考慮して、Hの実装は、HがFの暗号特性とGのホワイトボックス特性を「継承」するように構築することが可能である。その結果、Fの暗号強度は、Gのホワイトボックス実装の改竄防止特性と組み合わせられる。したがって、Hは、そのブラックボックスセキュリティに関して、少なくともFと同等にセキュアにすることができる。また、そのホワイトボックスセキュリティに関して、Hは、FおよびCがホワイトボックスではない実装形態で実装された場合でも、Gを少なくとも部分的にホワイトボックス実装の形で実装することにより、ホワイトボックスのセキュリティを持たせることができる。]
    [0043] Fが、nFの出力ブロックサイズを有するブロック暗号の暗号化または解読のアルゴリズムを表し、Gが、サイズnGの入力データを有する関数を表す場合、Gの入力データとGの出力の両方がHに含められるので、送信されるデータはnF+nGのサイズになりうる。一定の値aによってxが与えられるか、またはxがその他の形で解読部において既知であるとする。すると、Hの出力を導出するためにホワイトボックス実装を実行する必要がなくなる。そして、CおよびFの実装を実行すれば十分であり、Gのホワイトボックス実装と比べると計算的に効率的である可能性がある。さらに、そのような場合には、値xは、暗号文から省略されてもよく、それにより暗号文のサイズが小さくなる。これにより、以下の手法が可能になる。]
    [0044] データブロックごとではなく、時折xを変えることも可能である。そのようにすると、ホワイトボックスのセキュリティと性能のバランスを取ることができる。Hが暗号化アルゴリズムを指定する場合、xが変更された場合には、暗号文はH(x,y)=(x,C(G(x),F(y)))によって与えられ、xが変更されていない場合は単にHx(y)=C(G(x),F(y))によって与えられることに留意されたい。Hが解読アルゴリズムを指定する場合は、暗号文は、xが変更された場合は(x,y)によって与えられ、xが変更されていない場合はyのみによって与えられうる。xの値の所定の連続を使用する、またはxを暗号文に依存させることも想定される。それによっても、暗号部から解読部に送信されるデータの量が減る。]
    [0045] 上記の手法および処理は、例えば何らかの関数DについてH(x,y)=(D(x),C(G(x),F(y)))を使用して適用することも可能であることが認識される。Dは、D(x)からG(x)を導出できるという特性とともに選択される。したがって、受信側は、E(D(x))=G(x)によって定義される関数Eを実装することが好ましい。]
    [0046] 一実施形態では、AESのホワイトボックス実装に基づいてRSAのホワイトボックス実装が構築される。Chow等によって説明されるAESのホワイトボックス実装はこの目的に適しているが、別の種類のホワイトボックス実装も使用することができる。ここではRSAおよびAESは、例として使用される。暗号関数であるか否かに関係なく、他の関数がRSAおよびAESの代わりの代替として使用されてよい。]
    [0047] RSAの暗号化アルゴリズムを関数Fで表すとする。したがって、データブロックmについて、F(m)は、RSAに従ってデータブロックmに関連付けられた暗号文を表す。何らかの特定の鍵または鍵のセットが併せて使用されることが想定されるが、鍵の扱いの詳細は、このテキストでは詳細に説明しない。RSA等の暗号アルゴリズムにおける暗号鍵の使用法は、当技術分野で知られている。本実施形態では、mのブロックサイズは、128ビット未満である。ただし、これは限定ではない。128ビットはAESのブロックサイズに対応するが、これは、本実施形態ではAESも使用されることを考えると利便である。本実施形態では、関数Gは、AESの暗号化アルゴリズムを表し、Cは、GF(2128)における乗算を表し、すなわち、x,y∈GF(2128)の場合にC(x,y)=x・yである。カウンタTを使用して、xの値を提供する。以下の処理ステップを使用して、Hに従ってメッセージを暗号化する。]
    [0048] 何らかの事前に指定された条件が満たされた場合にカウンタTを増加させる。例えば、カウンタは、K個のデータブロックごとに増加させることができる。]
    [0049] 次に、値γ=C(G(x),F(y))=G(x)・F(y)が計算され、xはカウンタTの値によって与えられ、yは、暗号化されるデータブロックによって与えられる。]
    [0050] 次に、暗号文ブロックが作成される。前回の暗号化以降カウンタが変化している場合、またはそれが最初の暗号化である場合、またはその他の理由で解読部がカウンタの値を知らない可能性がある場合は、H(x,y)=(x,γ)によって暗号文が与えられる。それ以外の場合は、γによって与えられる。]
    [0051] これらのステップは、暗号化される後続のデータブロックについて繰り返される。理解されるように、解読部に、暗号化部で使用されるG(x)の値と同一または機能的に同等のG(x)の値を使用させる機構が機能している限り、暗号文は通例、γの値を含み、x(または場合によってはD(x))の値の1つ、一部、またはすべてを含む場合も含まない場合もある。また、カウンタTの代わりに、値xは、乱数生成器の結果であっても、または、平文または暗号文から例えば何らかのハッシュ関数を用いて計算されてもよいことが理解されよう。]
    [0052] Gは、ホワイトボックス実装として実装されることが可能である。そのようにして、Hの実装は、Gをホワイトボックス実装として実装することによって、ホワイトボックス実装とすることができる。]
    [0053] 上述の方式で暗号化されたデータを解読することが可能な解読処理は以下の通りである。]
    [0054] 暗号文ブロックが値xを含んでいる場合は、G(x)が、暗号文ブロックの値xを使用して計算される。それ以外の場合は、以前に計算されたG(x)の値が使用される。]
    [0055] 次にGF(2128)の(G(x))-1を求める。(G(x))-1は、(関数Gの逆数ではなく)GF(2128)のG(x)の逆数を表すことに留意されたい。]
    [0056] その後、F(y)=(G(x))-1・γを計算する。]
    [0057] 次に、RSAの解読アルゴリズムを使用して、F(y)に基づいて平文ブロックyを計算する。RSAのこのような解読アルゴリズムは当技術分野で知られている。このステップでは、F(y)は、暗号文ブロックとみなされる。]
    [0058] この解読処理のホワイトボックス実装を作成するには、関数Gのホワイトボックス実装を提供すれば十分であることに留意されたい。それは、攻撃者が関数Gを破ることができなければ実装を破ることが難しいためである。]
    [0059] 解読処理が、カウンタTの独自のコピーを保持し、カウンタTが増加される条件を知っている場合には、値xは、暗号文に加える必要はない。したがって、その場合は、ブロックサイズは増大しない。カウンタの代わりに、以前の暗号文ブロックから値xを導出することもできる。その場合も値xは暗号文に加える必要がない。]
    [0060] 本明細書に記載される技術は、暗号鍵を使用するソフトウェア実装へのアクセス権を有する攻撃者から暗号鍵を隠蔽するために使用できる。]
    [0061] 本発明は、本発明を実用化するために適合された、コンピュータプログラム、特にキャリア上またはキャリア内のコンピュータプログラムにも適用されることが理解されよう。プログラムは、ソースコード、オブジェクトコード、部分的にコンパイルされた形態等の中間ソースコードおよびオブジェクトコード、または本発明による方法の実装で使用するのに適した他の形態とすることができる。そのようなプログラムは種々のアーキテクチャ設計を有する可能性があることが理解されよう。例えば、本発明による方法またはシステムの機能を実施するプログラムコードは、1つまたは複数のサブルーチンに再分割されることが可能である。それらのサブルーチン間に機能を分散させる多くの異なる方式が当業者に明らかであろう。サブルーチンは、共に1つの実行ファイルに格納して、独立型のプログラムを形成することができる。そのような実行ファイルは、コンピュータ実行可能命令、例えばプロセッサ命令および/またはインタープリタ命令(例えばJava(登録商標)インタープリタ命令)を含むことができる。あるいは、サブルーチンの1つまたは複数またはすべてを少なくとも1つの外部のライブラリファイルに格納し、静的または動的(例えば実行時)にメインプログラムとリンクすることができる。メインプログラムは、サブルーチンの少なくとも1つへの少なくとも1回の呼び出しを含む。また、サブルーチンは、相互への関数呼び出しを含むことができる。コンピュータプログラム製品に関連する実施形態は、ここで述べる方法の少なくとも1つの方法の処理ステップ各々に対応するコンピュータ実行可能命令を含む。それらの命令は、サブルーチンに再分割する、かつ/または静的または動的にリンクできる1つまたは複数のファイルに格納されることが可能である。コンピュータプログラム製品に関連する別の実施形態は、ここで述べられるシステムおよび/または製品の少なくとも1つの手段各々に対応するコンピュータ実行可能命令を含む。それらの命令は、サブルーチンに再分割する、かつ/または静的または動的にリンクできる1つまたは複数のファイルに格納されることが可能である。]
    [0062] コンピュータプログラムのキャリアは、プログラムを搬送することが可能な任意のエンティティまたは装置である。例えば、キャリアは、例えばCD ROMや半導体ROMなどのROM、または例えばフロッピー(登録商標)ディスクやハードディスク等の磁気記録媒体等の記憶媒体を含むことができる。さらに、キャリアは、電気信号または光信号等の伝送可能キャリアであってもよく、電気信号または光信号は、電気ケーブルまたは光ケーブルを介して、または無線や他の手段を介して伝達されることが可能である。プログラムがそのような信号に実施される場合、キャリアは、そのようなケーブルまたは他の装置または手段によって構成されることが可能である。あるいは、キャリアは、プログラムが埋め込まれた集積回路であってもよく、集積回路は、この関連する方法を行うために、または行う際に使用するために適合される。]
    [0063] 上記の実施形態は、本発明を限定するのではなく例示するものであり、当業者は、添付の特許請求の範囲から逸脱することなく多くの代替実施形態を設計することができることに留意されたい。クレームにおいて、括弧内に入れた参照符号は、クレームを限定するものとは解釈すべきでない。動詞「〜を備える」およびその活用形は、クレームに記載された以外の要素またはステップの存在を除外するものではない。要素の前の冠詞「a」または「an」は、その要素が複数存在することを除外するものではない。本発明は、数個の別個の要素からなるハードウェア、および適切にプログラムされたコンピュータを用いて実施することができる。数個の手段を列挙する装置クレームでは、それら数個の手段は、1つの同一のハードウェアによって実施することができる。相互に異なる従属クレームに特定の手段(measure)が記載されることだけでは、それら手段の組み合わせが有利に使用することができないことを意味しない。]
    [0064] 100、200暗号システム
    102、202関数のホワイトボックス実装
    112、212 入力
    104、204暗号アルゴリズムの実装(暗号システム)
    106、206結合動作の実装
    110、210 手段
    114、214 出力
    301 暗号化部
    350解読部]
    权利要求:

    請求項1
    暗号システム(100)であって、関数のホワイトボックス実装(102)と、暗号アルゴリズムの実装(104)と、前記関数の結果に依存しかつ前記暗号アルゴリズムの結果に依存して、暗号処理されたデータを設定する結合動作の実装(106)とを備える暗号システム。
    請求項2
    前記結合動作は、前記暗号アルゴリズムの結果を前記関数の結果と結合するステップを含む請求項1に記載の暗号システム。
    請求項3
    前記結合動作は、結合の結果を得るように、前記関数の結果を受信されたデータ要素と結合するステップと、前記結合の結果に前記暗号アルゴリズムを適用するステップとを含む請求項1に記載の暗号システム。
    請求項4
    前記関数の結果の特定の値を与えられると、前記結合動作は、前記暗号アルゴリズムの前記結果と前記結合動作の結果との間に1対1の対応を定義する請求項1に記載の暗号システム。
    請求項5
    前記結合動作の結果の表現を含む信号を生成する信号生成器をさらに備える請求項1に記載の暗号システム。
    請求項6
    前記信号生成器は、前記第1の関数への入力の表現を前記信号中に含めるように構成される請求項5に記載の暗号システム。
    請求項7
    前記結合動作の実装は、前記関数の単一の結果を前記暗号アルゴリズムの複数の結果と結合するように構成される請求項6に記載の暗号システム。
    請求項8
    前記第1の関数への入力を表す値と前記第2の関数の複数の結果とを含む信号を生成する信号生成器をさらに備える請求項7に記載の暗号システム。
    請求項9
    前記ホワイトボックス実装は、ルックアップテーブルおよびXOR演算を備える請求項1に記載の暗号システム。
    請求項10
    前記ホワイトボックス実装は、識別データを取得するように、装置および/またはユーザを識別するデータにアクセスする手段と、前記識別データに依存して前記関数の出力を設定する手段とを備える請求項1に記載の暗号システム。
    請求項11
    暗号化部(301)を備える暗号システム(300)であって、前記暗号化部は、第1の関数の実装(102)と、第1の暗号アルゴリズムの実装(104)と、前記第1の関数の結果に依存しかつ前記第1の暗号アルゴリズムの結果に依存して、暗号化データを設定する第1の結合動作の実装(106)と、前記第1の結合動作の結果を表す情報を解読部に提供する出力(114)とを備え、前記暗号システムは、解読部(350)をさらに備え、前記解読部は、前記第1の結合動作の前記結果を表す前記情報を取得する入力(212)と、前記第1の関数への入力に対応する値に第2の関数を適用するように構成された第2の関数の実装(202)と、前記第1の結合動作の結果を表す前記情報の少なくとも一部に基づいてデータに第2の暗号アルゴリズムを適用するように構成された第2の暗号アルゴリズムの実装(204)と、前記第2の関数の結果に依存しかつ前記第2の暗号アルゴリズムの結果に依存して、解読されたデータを設定する第2の結合動作の実装(206)とを備え、前記第1の関数の前記実装および前記第2の関数の前記実装の少なくとも1つがホワイトボックスを含む暗号システム。
    請求項12
    暗号処理の方法であって、関数のホワイトボックス実装を利用して第1の値に関数を適用するステップ(402)と、第2の値に暗号アルゴリズムを適用するステップ(404)と、前記関数の結果に依存しかつ前記暗号アルゴリズムの結果に依存して、暗号処理されたデータを設定する結合動作を適用するステップ(406)とを含む方法。
    請求項13
    請求項12に記載の方法をプロセッサに実行させる命令を備えたコンピュータプログラム製品。
    类似技术:
    公开号 | 公开日 | 专利标题
    Wang et al.2015|Novel image encryption algorithm based on cycle shift and chaotic system
    Shiu et al.2015|Encrypted image-based reversible data hiding with public key cryptography from difference expansion
    US20170286685A1|2017-10-05|Method and system for verifying authenticity of at least part of an execution environment for executing a computer module
    JP3901909B2|2007-04-04|暗号化装置およびプログラムを記録した記録媒体
    US7694133B2|2010-04-06|Systems and methods for protecting data secrecy and integrity
    Younes et al.2008|A new steganography approach for images encryption exchange by using the least significant bit insertion
    Furht et al.2006|Multimedia encryption and watermarking
    JP4701166B2|2011-06-15|暗号又は復号を行うコンピュータシステム及びコンピュータプログラム
    US7260215B2|2007-08-21|Method for encryption in an un-trusted environment
    Rijmen et al.2001|Advanced encryption standard
    US7634091B2|2009-12-15|System and method of hiding cryptographic private keys
    JP5249053B2|2013-07-31|データ処理システムの完全性
    JP4384056B2|2009-12-16|暗号装置、復号装置、鍵生成装置、プログラム及び方法
    CA2623182C|2014-10-07|Renewable traitor tracing
    DE60024941T2|2006-06-29|Verschlüsselungsverfahren und -Vorrichtung, Entschlüsselungsverfahren und -Vorrichtung
    Abd El-Samie et al.2013|Image encryption: a communication perspective
    US20100150344A1|2010-06-17|Methods and devices for a chained encryption mode
    KR20000029092A|2000-05-25|디지털 저작물 보호시스템
    US20060265595A1|2006-11-23|Cascading key encryption
    US20040174997A1|2004-09-09|Key agreement system, shared-key generation apparatus, and shared-key recovery apparatus
    US20080084996A1|2008-04-10|Authenticated encryption method and apparatus
    US8023651B2|2011-09-20|Block ciphering system, using permutations to hide the core ciphering function of each encryption round
    KR20100017844A|2010-02-16|데이터를 보호할 때 적용되는 프로그램 가능한 프로세싱 단계들을 정의하기위한 시스템 및 방법
    JP4611305B2|2011-01-12|情報伝達システム、暗号装置及び復号装置
    KR20060020688A|2006-03-06|개선된 안전 인증 채널
    同族专利:
    公开号 | 公开日
    CN102016871A|2011-04-13|
    CN102016871B|2017-11-07|
    EP2255317B1|2013-05-15|
    JP6017501B2|2016-11-02|
    EP2255317A1|2010-12-01|
    WO2009109884A1|2009-09-11|
    US9710623B2|2017-07-18|
    KR101639587B1|2016-07-14|
    US20110116625A1|2011-05-19|
    CA2717625A1|2009-09-11|
    CA2717625C|2018-09-25|
    KR20100138986A|2010-12-31|
    JP2014180061A|2014-09-25|
    引用文献:
    公开号 | 申请日 | 公开日 | 申请人 | 专利标题
    US6351539B1|1998-09-18|2002-02-26|Integrated Device Technology, Inc.|Cipher mixer with random number generator|
    JP2003513490A|1999-10-25|2003-04-08|サイファーマンクスコンサルタンツリミテッド|意図しないサイド・チャネル信号の分析によるデータ抜取りに耐性のデータ処理方法|
    JP2006504206A|2002-10-28|2006-02-02|松下電器産業株式会社|再生可能な不正防止機能セキュリティシステムのための自動生成された暗号関数|
    JP2006511996A|2002-12-21|2006-04-06|インターナショナル・ビジネス・マシーンズ・コーポレーションInternationalBusinessMaschinesCorporation|条件付き電子署名の生成、使用、およびステータス変更のレポートのための方法、装置、およびコンピュータ・プログラム|
    JP2008508806A|2004-07-29|2008-03-21|ゾルト アリ、|ワンタイムパスワード暗号化を強化するための技術|
    WO2006038104A1|2004-10-07|2006-04-13|Axalto Sa|Method and apparatus for generating cryptographic sets of instructions automatically and code generation|
    JP2008516502A|2004-10-07|2008-05-15|アクサルト・エス・アー|命令の暗号セットを自動的に生成する方法および装置ならびにコード生成|
    US20070086586A1|2005-10-14|2007-04-19|Microsoft Corporation|Semi-public white-box cipher|
    WO2007105126A2|2006-03-10|2007-09-20|Koninklijke Philips Electronics N.V.|Method and system for obfuscating a cryptographic function|
    JP2009529819A|2006-03-10|2009-08-20|コーニンクレッカフィリップスエレクトロニクスエヌヴィ|データ処理システムの完全性|
    WO2008010119A2|2006-07-12|2008-01-24|Koninklijke Philips Electronics N.V.|Tamper resistance of a digital data processing unit|
    JP2009543244A|2006-07-12|2009-12-03|コーニンクレッカフィリップスエレクトロニクスエヌヴィ|暗号関数を難読化する方法およびシステム|
    JP2009543498A|2006-07-12|2009-12-03|コーニンクレッカフィリップスエレクトロニクスエヌヴィ|デジタルデータ処理装置の耐改竄性|
    WO2008007305A2|2006-07-12|2008-01-17|Koninklijke Philips Electronics N.V.|Method and system for obfuscating a gryptographic function|
    WO2008059420A2|2006-11-17|2008-05-22|Koninklijke Philips Electronics N.V.|Cryptographic method for a white-box implementation|
    JP2010510539A|2006-11-17|2010-04-02|コーニンクレッカフィリップスエレクトロニクスエヌヴィ|ホワイトボックス実施のための暗号化方法|
    WO2008084433A2|2007-01-11|2008-07-17|Koninklijke Philips Electronics N.V.|Tracing copies of an implementation|
    JP2010515945A|2007-01-11|2010-05-13|コーニンクレッカフィリップスエレクトロニクスエヌヴィ|実装のコピーの追跡|JP2016505891A|2012-12-21|2016-02-25|コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V.|テーブルネットワークを有する計算装置|
    WO2017203992A1|2016-05-23|2017-11-30|ソニー株式会社|暗号化装置、暗号化方法、復号化装置、及び復号化方法|JPH10161535A|1996-12-05|1998-06-19|Yamaha Corp|暗号通信装置|
    EP1038370B1|1998-06-25|2006-09-06|Philips Electronics N.V.|Synchronous stream cipher|
    JP2005505069A|2001-10-03|2005-02-17|コーニンクレッカフィリップスエレクトロニクスエヌヴィKoninklijkePhilipsElectronicsN.V.|メモリ暗号化|
    JP3650611B2|2002-06-13|2005-05-25|一浩 宮本|暗号化及び復号化するためのプログラム|
    US8213768B2|2005-03-08|2012-07-03|Panasonic Corporation|Packet transmitting apparatus|
    WO2008018303A1|2006-08-10|2008-02-14|Nec Corporation|Adjusting function-equipped block encryption device, method, and program|
    US8160247B2|2007-09-27|2012-04-17|Adobe Systems Incorporated|Providing local storage service to applications that run in an application execution environment|
    JP2011520150A|2008-05-07|2011-07-14|イルデト・コーポレート・ビー・ヴイ|指数難読化|
    US8966285B2|2011-01-10|2015-02-24|Apple Inc.|Securing implementation of a cryptographic process having fixed or dynamic keys|KR20120072011A|2010-12-23|2012-07-03|한국전자통신연구원|무결성 검증이 가능한 데이터 암호장치, 복호장치 및 방법|
    KR101906225B1|2011-11-30|2018-12-10|삼성전자 주식회사|복호장치와, 복호장치의 암호문 복호화 방법|
    RU2620712C2|2012-01-09|2017-05-29|Конинклейке Филипс Н.В.|Устройство виртуальной машины, имеющее управляемую ключом обфускацию, и способ|
    US9009495B2|2013-06-28|2015-04-14|Envieta, LLC|High speed cryptographic combining system, and method for programmable logic devices|
    US9363075B2|2013-10-18|2016-06-07|International Business Machines Corporation|Polymorphic encryption key matrices|
    US20170126398A1|2014-03-31|2017-05-04|Irdeto B.V.|Obfuscated performance of a predetermined function|
    US9485226B2|2014-04-28|2016-11-01|Nxp B.V.|Method for including an implicit integrity or authenticity check into a white-box implementation|
    US9641337B2|2014-04-28|2017-05-02|Nxp B.V.|Interface compatible approach for gluing white-box implementation to surrounding program|
    US10412054B2|2014-06-24|2019-09-10|Nxp B.V.|Method for introducing dependence of white-box implementation on a set of strings|
    KR20160088513A|2015-01-15|2016-07-26|한국전자통신연구원|암호화 장치 및 방법|
    US9665699B2|2015-03-13|2017-05-30|Nxp B.V.|Implementing padding in a white-box implementation|
    IN2015DE01753A|2015-06-11|2015-08-28|Pradeep Varma||
    CN105426702A|2015-10-26|2016-03-23|李晖|基于安卓操作系统的应用程序加密解密方法和装置|
    US10171234B2|2015-12-16|2019-01-01|Nxp B.V.|Wide encoding of intermediate values within a white-box implementation|
    KR101933649B1|2016-05-27|2018-12-28|삼성에스디에스 주식회사|화이트박스 암호 알고리즘을 이용한 공개키 암호화를 위한 장치 및 방법|
    法律状态:
    2012-02-25| A621| Written request for application examination|Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120224 |
    2013-06-05| A131| Notification of reasons for refusal|Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130604 |
    2013-09-03| A601| Written request for extension of time|Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20130902 |
    2013-09-10| A602| Written permission of extension of time|Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20130909 |
    2014-03-04| A02| Decision of refusal|Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20140303 |
    2014-12-18| A711| Notification of change in applicant|Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20141217 |
    2015-09-29| A601| Written request for extension of time|Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20150929 |
    优先权:
    申请号 | 申请日 | 专利标题
    [返回顶部]