暗号ハードウェアのサイドチャネル攻撃評価用ボードSASEBO-GIIを開発

　独立行政法人 産業技術総合研究所【理事長 野間口 有】（以下「産総研」という）情報セキュリティ研究センター【研究センター長 今井 秀樹】ハードウェアセキュリティ研究チーム　佐藤 証 研究チーム長らは、暗号ハードウェアのサイドチャネル攻撃評価/部分再構成評価用FPGAボード「SASEBO-GII」を開発した。

　暗号ハードウェアの普及に伴い、LSIが発生する消費電力や電磁波などに漏れる動作情報を利用して暗号の鍵を盗み出すサイドチャネル攻撃の脅威が高まっており、それに対する安全性評価指針を定めた国際標準規格の策定作業が進められている。そこで産総研は、これまでに様々なタイプのサイドチャネル攻撃標準評価ボードSASEBO(Side channel Attack Standard Evaluation BOard)シリーズを開発してきたが、機能を大幅に強化したSASEBO-GII(図1)を開発し国内外の様々な暗号ハードウェア評価活動で利用されることとなった。

　SASEBO-GIIは小型・省電力化と機能追加、そして信頼性向上に高い期待が寄せられている動的/静的部分再構成機能もサポートしており、統合的なハードウェアセキュリティシステムの研究も行うことが可能である。

　SASEBO-GIIボードは、暗号モジュールの試験機関において標準ボードとして使用される他、経済産業省の委託事業「高度大規模半導体集積回路セキュリティ評価技術開発」においてICチップのセキュリティ評価に採用される予定である。また、総務省と経済産業省が進めている「電子政府推奨暗号リスト」の改定作業における暗号アルゴリズムの性能評価等での利用が想定されている。

図1　開発したFPGAボードSASEBO-GII

　 金融や交通機関で利用が拡大するICカードやデジタルコンテンツの著作権保護などで利用が進む暗号技術は、ユビキタスネットワーク社会を支える基盤技術の一つである。従来、暗号の安全性は、そのアルゴリズムを専門家が理論的に解析することで行われてきた。しかしながら、暗号製品が普及するにつれ、その実装の弱点を突く攻撃が次々と登場している。その中で特に、暗号モジュールの動作時の消費電力や電磁波などに漏洩する内部の動作情報を利用して暗号の鍵を盗み出すサイドチャネル攻撃が現実的な脅威となりつつある。

　産総研情報セキュリティ研究センターは米国国立標準技術研究所(NIST)と共に、暗号モジュールのセキュリティ要件を定めた現行の米国連邦標準規格FIPS (Federal Information Processing Standards) 140-2からFIPS 140-3への改定にあたり、サイドチャネル攻撃に対する安全性評価手法を確立すべく共同研究を進めている。また、FIPS 140-2を基に国際標準規格化されたISO/IEC 19790および24759も並行して改定される予定である。国内では、独立行政法人 情報処理推進機構（IPA^® ）がこれらの規格に準拠して「暗号モジュール試験及び認証制度（JCMVP^® ：Japan Cryptographic Module Validation Program）」を運用している。サイドチャネル攻撃標準評価ボードSASEBOシリーズは、これらの規格改定の推進を目的に開発され、国内外の研究機関においてSASEBOを用いた様々な実験が行われている。また、初代のFPGAボードSASEBOはハードウェアモジュールとして初めてJCMVP認証を受けている。

　SASEBOボードは、国内外の暗号モジュール試験機関やサイドチャネル攻撃の研究で実績のある研究機関に限定して利用を進めてきた。しかしながらサイドチャネル攻撃の社会的な認知度の高まりと共に、暗号実装の安全性の研究を始める大学が増え、また暗号製品を開発している企業からもSASEBOの提供を望む声が多数寄せられるなど、評価・対策手法の研究と議論をより多くの研究者によるオープンな場で進める必要性が出てきている。

　産総研情報セキュリティ研究センターでは、高性能な暗号ハードウェア実装とそのアプリケーションの開発、そして暗号モジュールの安全性評価手法の研究に取り組んできた。その取り組みの一つとして、経済産業省の委託事業「暗号モジュールの実装攻撃の評価に関する調査研究」において、これまでに様々なタイプのサイドチャネル攻撃標準評価ボードSASEBOシリーズを開発してきた。

　また、IPA^®と独立行政法人 情報通信研究機構（NICT）が共同で運営するCRYPTREC暗号モジュール委員会及びサイドチャネルセキュリティ・ワーキンググループ等の活動に主体的に参画し、電子政府推奨暗号リストの改定作業において、ハードウェア実装性能及びサイドチャネル攻撃に対する安全性評価に取り組んでいる。

　さらに、暗号モジュールの安全性評価の国際標準規格ISO/IEC 19790及び24759改定への貢献を目的として、NISTとサイドチャネル攻撃に関する共同研究を進めFIPS 140-3の策定に取り組むと同時に、国内外の企業と連携し、標準規格策定後の制度運用に向けて計測装置や解析ツールの開発も進めている。

　安全で信頼性の高いハードウェアシステムの構築には、セキュリティといった攻撃者に対する防御手段の他に、故障や設計ミスといった偶発的な事態にも迅速に対処可能であることが要求される。ハードウェアの不具合はソフトウェアのように簡単にアップデートすることはできず、一般に、システムを停止して故障したハードウェアユニットを交換する必要がある。この解決策の一つとして、回路機能の書き換えが可能なFPGAの活用が有望視されている。特に最新のFPGAは、回路の動作を止めずに部分的に回路を変更することが可能な動的部分再構成の機能を有しているものが少なくない。動的部分再構成を利用することで、必要な回路機能を必要な時にオン・デマンドで実装できるようになり、小型で省電力かつソフトウェアのように柔軟なハードウェアシステムの構築が実現可能となる。しかしながら、部分再構成技術を活用できるエンジニアはごく一部に限られ、この技術に関する資料や情報もほとんどないため、部分再構成の実験が手軽に行える環境の整備が普及への鍵となっている。

　今回、開発したSASEBO-GIIは、Xilinx社のFPGA Virtex-5を搭載しており、一世代前のSASEBO-Gに搭載していたFPGAチップVirtex-IIに対して4～7倍の回路ロジック容量を有し、これまでSASEBO-Gでは実装できなかった複雑な回路の評価が可能となっている。さらに、ボードサイズは1/3という大幅な小型・高集積化を行い、電力波形や電磁波形の観測に影響を与える電源ノイズの低減も実現した。また、電力供給、回路書き換え、データ入出力及び制御の全てをUSBケーブル一本で可能としたことで、試験環境が簡略化されると同時に環境の違いによる測定結果のばらつきの低減にも貢献している。

　また、本ボードはFPGAを動作させたまま、回路の一部を書き換え可能な動的部分再構成をサポートしている。動的部分再構成によって必要な回路をオン・デマンドで実装することによる多機能化と、小型・省電力実装が実現されるだけでなく、遠隔地や宇宙空間などにある装置の動作モニターとリモートによる機能アップデートや、故障したブロックの正常な回路リソースによる修復なども可能となり、ハードウェアシステムの信頼性が大幅に向上するものと期待される。

　その一方で、ネットワーク経由での回路の書き換えができるようになると、システム障害を目的とするハードウェアウィルスが登場する恐れがある。また、ソフトウェアのように、知財である回路情報が不正にコピー利用されるといった被害も既に出てきている。そこで、産総研では回路情報の改ざん・盗用を暗号技術によって防止する研究をSASEBO-GII上で行っている(図2)。

図2　部分再構成技術と暗号技術を利用したハードウェアシステム

　このようにSASEBO-GIIは従来のSASEBOシリーズで培った小型・高集積化・ノイズ低減等の研究成果をフィードバックしたことに加え、最先端の部分再構成技術も実装したことで、より高度なハードウェアセキュリティシステムの研究開発を可能とした。このように高性能かつ高機能なSASEBO-GIIボードは、FIPS 140-3のもとで暗号モジュールの評価を行う試験機関において試験環境整備のための標準ボードとして利用され、また、経済産業省の「高度大規模半導体集積回路セキュリティ評価技術開発」におけるICチップのセキュリティ評価のための技術開発において利用される予定である。

　また、総務省と経済産業省が進めている「電子政府推奨暗号リスト」の改定の中でもSASEBO-GIIによる暗号アルゴリズムのハードウェア性能評価が想定されている。さらに、2008年8月～2009年8月に世界各国の企業・大学の研究機関が参加し、サイドチャネル攻撃の新規解析手法の性能を競ったDPAコンテストの第2回でもSASEBO-GIIの利用が検討されている。

図3　SASEBO-GIIを用いた研究・標準化活動

　今回開発したSASEBO-GIIは企業から製品化されることになり、より多くの研究者の参加を促進することで、暗号モジュールの安全性評価のための研究の一層の発展が期待される。

　サイドチャネル攻撃の評価手法確立後のさらなる国際標準改定を視野に入れ、暗号モジュールの電源やクロックにノイズ等を与えて誤動作を誘発するより高度な故障利用解析攻撃や、LSIのパッケージを開封して内部を直接観察する侵襲攻撃等の最先端の研究についてSASEBOボードを用いて行う。さらに、高度な部分再構成技術を有する研究者・エンジニアの育成を目的とした教育用ツールキットの開発も進めている。

独立行政法人 産業技術総合研究所
情報セキュリティ研究センター
佐藤 証　　E-mail：akashi.satoh*aist.go.jp（*を@に変更して送信下さい。）

◆FPGA

Field Programmable Gate Array　ユーザーが回路を何度でも書き換えることができるLSI。用途を限定した専用LSIに比べて低速で大きいが、必要となる機能をすぐに実装することができるため、実験用や試作品、少量生産の製品等に多く用いられる。[参照元に戻る]

◆暗号の鍵

暗号はデータを第三者の盗聴などから守るために、ある規則によって暗号文に変換したり、元のデータへの逆変換を行ったりするものである。しかし、その規則が常に同じでは誰にでも同じ変換ができてしまうため、データを守ることができない。そこで、変換規則を変えるために、利用者毎に異なる鍵と呼ばれる秘密のパラメータが用いられる。[参照元に戻る]

◆サイドチャネル攻撃

暗号が専用ハードウェアとして実装されたり、ソフトウェアとしてプロセッサ上で実行されたりするときに、その暗号モジュールが消費する電力や放射する電磁波は、処理内容に応じた独特の波形として観測される。このような正規のデータ入出力パスでない“サイドチャネル”に漏洩している内部動作の情報から暗号の鍵を盗み出す攻撃法。[参照元に戻る]

◆暗号モジュール

暗号をソフトウェアまたはハードウェアとして実装したモジュール。ソフトウェア実装された暗号モジュールも、プロセッサ上で暗号処理を行うため、ハードウェア実装と同様に、暗号処理に応じて電力が消費され、また電磁波を発生する。[参照元に戻る]

◆高度大規模半導体集積回路セキュリティ評価技術開発

「平成21年度企業・個人の情報セキュリティ対策促進事業（高度大規模半導体集積回路セキュリティ評価技術開発）」http://www.meti.go.jp/information/data/c90731aj.html
国際標準ISO/IEC15408に基づくICチップの セキュリティ評価体制を国内で整えることを目的に、必要な技術開発や環境整備等を行う平成21年度～23年度にわたる経済産業省の委託事業。[参照元に戻る]

◆電子政府推奨暗号リスト改訂

「電子政府推奨暗号リスト改訂のための暗号技術公募要項（2009 年度）」
http://www.cryptrec.go.jp/topics/cryptrec_20090527_application_guide_2009.pdf
CRYPTREC暗号技術検討会において、平成15年2月に「電子政府における調達のための推奨すべき暗号のリスト（電子政府推奨暗号リスト）」が定められた。その後、暗号の解析・攻撃技術が高度化し、新たな暗号技術の開発が進んでいることから、新たな暗号方式を公募するとともに、現行リストの暗号方式を含めて性能および安全性を評価し、平成24度までにリストの改定を行う予定となっている。 [参照元に戻る]

◆アルゴリズム

ある特定の処理や演算を行うための手順を、論理的かつ具体的に示したもの。[参照元に戻る]

◆ユビキタスネットワーク社会

携帯電話やPCだけでなく、様々な電気・電子機器がインターネット等のネットワークに、いつでも、どこでもつながることにより、様々なサービスが提供され、生活や経済がより円滑に進む社会。[参照元に戻る]

◆暗号モジュール及び認証制度（JCMVP^®）

JCMVP^®： Japan Cryptographic Module Validation Program　暗号モジュールに暗号方式が適切に実装され、その鍵やパスワードといった重要情報が攻撃者から保護されるとともに、許可された者がいつでもその機能を確実に利用できることを、暗号モジュールのユーザーが客観的に把握できるように設けられた第三者適合性評価制度。平成19年4月にIPA^®によって正式運用が始まり、セキュリティに関する国際規格ISO/IEC 19790の一致規格JIS X 19790 に基づく試験・認証が行われる。[参照元に戻る]

◆CRYPTREC

Cryptography Research and Evaluation Committees　総務省と経済産業省が共同で運営する、電子政府推奨暗号の安全性を評価・監視し、暗号モジュール評価基準等の策定を検討するプロジェクト。(http://www.cryptrec.jp/)　[参照元に戻る]

◆DPAコンテスト

フランスのTELECOM Paris Tech大学が主催し、サイドチャネル攻撃の一種である差分電力解析攻撃(DPA: Differential Power Analysis)の新規提案解析手法の性能を競う学術的なコンテスト。暗号ハードウェアに関する国際会議で最も権威のあるCHES(Cryptographic Hardware and Embedded Systems)(http://www.iacr.org/workshops/ches/)で2008年に開催がアナウンスされ、多数の参加者を集めた。この第1回コンテストではサンプルの電力波形を用いたが、第2回ではSASEBO-GIIをターゲットとした実機での解析が検討されている。(http://www.dpacontest.org/)　[参照元に戻る]