Vol.3 No.1 2010

63/100

研究論文:暗号モジュールの安全な実装を目指して(佐藤ほか)−60−Synthesiology Vol.3 No.1(2010)らボードやツールを用いた試験要員のトレーニングも重要となってくる。それには多くの経費と人的リソースが必要となるが、そこに公的資金を投入し続けることは難しい。暗号製品のセキュリティ向上によって社会全体が恩恵を受けるのはもちろんであるが、その製品を開発する企業や安全性評価をビジネスとする試験機関も同じく受益者である。そこで、企業の活力を利用しながら、より高いセキュリティの実現と評価制度の発展につなげていくことが重要となる。そのためにまず、評価・対策技術の普及に向けて国内複数のボードメーカーからSASEBOを製品化しており、今後は海外への流通チャネルの拡大も予定している。また、ICカード評価ツールのビジネスを展開している企業は欧州に2社、米国に1社存在するが、その3社と交渉を行い、全てのツールにおいてSASEBOがサポートされることとなった。さらに産総研が開発する解析手法を取り込みながら、3社が試験機関に対して評価ツールの提供とトレーニングを行うことも検討されている。そして産総研は、公的研究機関としてCRYPTRECやNISTと協力しながら、評価手法の標準化や解析技術の開発などの基本となる部分をコントロールし、より効率的な制度運用に向けて国内外の企業との連携をさらに進めて行く予定である。4 サイドチャネル攻撃の実際4.1 暗号モジュールへのさまざまな物理解析攻撃暗号モジュールの物理的な解析手法は、図2に示したように破壊攻撃と非破壊攻撃に大別することができる。破壊攻撃は、暗号モジュールのコア部分であるLSIのパッケージを開封し内部を直接解析するため、高価な装置や高い技術が要求される。これに対してKocherらが提案したサイドチャネル攻撃[21][22] は、モジュールの改造は行わない非破壊攻撃であり、LSIの動作中の電力波形や電磁波そして処理時間など、正規のI/Oチャネルではない“サイドチャネル”に漏れる内部処理の情報を利用する。情報の取得と解析にはオシロスコープやPCなどの比較的安価な機器しか必要としないが、非常に強力な攻撃法である。サイドチャネル攻撃はLSIの動作状態を外部から観測する受動的な攻撃であるのに対して、故障利用解析攻撃は電源やクロックにノイズを混入するなどしてLSIを誤動作させて、その反応を解析するより高度な解析手法である。故障利用解析攻撃もサイドチャネル攻撃に次いで、今後、安全性評価手法の標準化を進めていく必要がある。 4.2 サイドチャネル攻撃標準評価ボードSASEBO安全性評価標準プラットフォームとして、我々がこれまで開発してきたSASEBOボードおよび暗号LSIを、図3と図4に示す。SASEBO-Gと-Bは、暗号回路実装にユーザーが回路の機能を書き換え可能なFPGA (Field Programmable Gate Array) を用いたボードで、それぞれアーキテクチャの異なるXilinx®社とAltera®社のチップを搭載している。これらのボード上でさまざまなサイドチャネル攻撃実験を行うために、ISO/IEC 18033-3標準の全てのブロック暗号および公開鍵暗号の標準であるRSA暗号の回路設計を行い、そのソースコードをWeb上で公開している[23]。またハードウエアだけでなく、FPGAに内蔵さ図2 暗号モジュールへのさまざまな物理攻撃(c) SASEBO-R (d) SASEBO-GII図4 暗号LSI(a) 90 nm版 (b) 130 nm版(a) SASEBO-G (b) SASEBO-B図3 SASEBOボード故障利用解析攻撃サイドチャネル攻撃からの出力モジュール内部放射線照射光・電磁波電解・磁界・放射線照射ノイズ印加電圧操作周波数操作不正入力漏洩情報平文・暗号文・鍵・パスワード配線プローブ, 輻射観測回路パターン解析処理時間電流・電圧電磁波キーボード入力コンピュータウィルスへの入力モジュール内部破壊攻撃非破壊攻撃正規データ入出力

※このページを正しく表示するにはFlashPlayer9以上が必要です