電磁・情報セキュリティ研究グループ概説 および

暗号機器のサイドチャネル攻撃に関する研究開発

五百旗頭 健吾

（岡山大学 工学部電気通信系学科）

内容

電磁・情報セキュリティ研究グループ

– 研究テーマ

– 研究分野およびメンバー構成

– 競争的資金獲得実績

サイドチャネル攻撃に対する安全予測法

– 暗号機器へのサイドチャネル攻撃

– SCOPE地域ICT振興型プロジェクト概要

岡山情報通信技術研究会, Jun. 26, 2013 page 2 五百旗頭（岡山大学）

電磁・情報セキュリティ研究グループ

研究目的

– 安全安心なICT機器およびサービスの開発設計

• ユーザ認証手法

• 暗号技術

• 暗号ハードウェア設計技術

メンバー

– 中西透（電気通信系学科）・ユーザ認証技術

– 野上保之（電気通信系学科）・暗号技術

– 籠谷裕人（電気通信系学科）・論理回路実装設計

– 豊田啓孝（電気通信系学科）・プリント基板設計、光通信技術

– 五百旗頭健吾（電気通信系学科）・サイドチャネル解析、プリント基板設計

岡山情報通信技術研究会, Jun. 26, 2013 page 3 五百旗頭（岡山大学）

暗号機器の環境と期待される技術

ICTアプリケーションの多様化

Web, ローカルな記憶媒体, 無線LAN, クラウド, ICカード

– 暗号鍵共有性に合わせた暗号技術

• 暗号方式： 秘密鍵暗号、公開鍵暗号

• 暗号プロトコル： ゼロ知識証明

– 実装可能な暗号回路規模

• 暗号回路のスケーラビリティ

計算機の性能向上による従来暗号の脆弱化

– より難解な暗号手法

– 暗号回路のコスト低減

サイドチャネル解析手法の開発・高度化

漏洩電磁波を利用した暗号解読の可能性

– 半導体回路レベルでのスイッチング電流管理

– プリント回路基板、製品レベルでの電磁雑音低減設計

岡山情報通信技術研究会, Jun. 26, 2013 page 4 五百旗頭（岡山大学）

岡山情報通信技術研究会, Jun. 26, 2013 page 5 五百旗頭（岡山大学）

技術分野の構成

暗号理論

半導体回路実装

プリント基板・製品レベルの低電磁雑音設計

ユーザ／機器認証方式

Webアプリケーションの開発

匿名認証方式の構築

次世代暗号方式の開発

–楕円ペアリング暗号

–安全性評価

汎用性と安全性を両立する暗号回路実装

ICT製品設計法

–サイドチャネル攻撃に対する安全性評価手法の確立

–電磁波放射抑制設計法

電磁／情報セキュリティ研究グループ

岡山情報通信技術研究会, Jun. 26, 2013 page 6 五百旗頭（岡山大学）

競争的資金獲得実績

～2007 2008 2009 2010 2011 2012 2013 2014 2015～

競争的資金

科研費 基盤B

SCOPE若手ICT

科研費 基盤C

科研費 基盤C

SCOPE若手IT

シーズ発掘試験

A-STEPシーズ顕在化 → ハイリスク

科研費 基盤C

科研費 基盤B

SCOPE地域ICT

科研費 若手B

科研費若手B

文科省科研費基盤 B [http://kaken.nii.ac.jp/d/p/21300004] ユビキタス環境における実用的な組織間匿名認証の研究開発およびその実証検証 参画メンバ（電気通信系学科 中西（准教授）、野上（准教授）） 実施期間（780万円、平成21－23年度）

開発した大学間匿名認証システムの構成図

認証サーバ 認証サーバ

認証局 認証局

無線LAN アクセスポイント 無線LAN

アクセスポイント

岡山大学 A大学

移動 ノートPC 携帯電話

クライアント 証明書の配布

グループ署名に よる匿名認証

認証局証明書および 失効リストの配布

認証手順の確立 および実証検証

岡山大学の 利用者ならOK

岡山大学の 利用者です

低機能端末を意識した ペアリングライブラリの高速化

グループ署名の安全性向上 および高機能化

署名生成

署名検証 ユーザ追加・失効

研究開発の概要 高度ICT社会に必須となる匿名でのユーザ・機器認証技術（匿名認証技術）を、当グループで

開発を進めているグループ署名技術および楕円ペアリング暗号を用いて実現した。そしてこれを、大学間匿名認証（UPKI）を支える高度ICT技術として実証実験を行い、その有効性を検証した。

研究開発の概要 スマートフォンを代表として拡大を続けるユビキタス・クラウドを中心とした高度ICT社会において、 多種多様な暗号システム・暗号計算が、様々な端末の上でも実用的かつ快適に処理できるよう、 世界初として高度なスケーラビリティをもった暗号計算チップを、関連する企業と共同で開発を進める。

科学技術振興機構 A-STEP

[http://www.jst.go.jp/a-step/kadai/h24-1honkaku.html] クラウドコンピューティング時代の認証技術を高度に実現する並列代数計算アルゴリズムのLSI化 参画メンバ（電気通信系学科 野上（准教授）、籠谷（講師）、五百旗頭（助教）） 実施期間（シーズ顕在化 ： 平成22－23年度、ハイリスク ： 平成24－26年度）

開発した暗号計算処理を組み込んだFPGAボードの構成図

USBを介して PCに接続

データ制御部

暗号計算部 並列代数計算アルゴリズム

チップの小型化 アルゴリズムの高速化を両立

データの送受信

暗号強度を256から5120ビットまで 自在に調整でき、次世代の多様な 暗号システムに柔軟かつ効率よく対応

暗号技術分野

暗号数理

戦略的情報通信研究開発推進制度SCOPE [http://www.soumu.go.jp/main_sosiki/joho_tsusin/scope/]

暗号技術による安心安全なICT環境実現に関する研究開発 メンバ（電気通信系学科 野上（准教授）、中西（准教授）、豊田（准教授）、籠谷（講師）、五百旗頭（助教））

実施期間、メンバ A）地域ICT振興型： 平成24－25年度、五百旗頭、豊田、野上、籠谷

B）若手ICT技術者育成型 ： 平成20－22年度、中西、野上、

C）若手IT技術者育成型 ： 平成16－18年度、野上

暗号技術に関する研究分野とSCOPEプロジェクトの概要

研究開発の概要 個人情報や機密情報を第三者に漏洩されることなくやり取りするICT技術の実現には、暗号処理を実行するIC/LSI回路レベルの論理回路設計、実際に製品という目に見える形にするための物理設計、そし

て、製品を安全に使用するためのアプリケーション設計が必要である。さらにこれら各層の設計技術と暗号数理が融合することにより、安心安全な暗号システムを実現できる。ここでは、その実現を目標とした研究開発を進めている。

論理回路設計

物理設計

アプリケーション設計

Ⅱ） 秘匿情報を含む不要電磁波が電子装置外部に放出

Ⅰ） 暗号化に伴い，ＬＳＩの電源系から秘匿情報を含むノイズ電流が流出

高周波測定器

暗号アルゴリズムをインストールしたＬＳＩを搭載したプリント回路基板

秘匿情報

Ⅲ） 放出された電磁波の受信・解析による情報漏えい

アンテナ

漏洩電磁波による情報漏洩（サイドチャネル攻撃）

A)

B)

C)

B) 匿名認証基盤の開発 A) サイドチャネル攻撃に対する安全設計法の開発

C) 次世代暗号用計算回路の開発

暗号機器のサイドチャネル攻撃に関する研究開発

総務省SCOPE地域ICT振興型研究開発 平成24～25年度

研究代表者： 五百旗頭健吾（岡山大）

共同研究者： 野上保之, 籠谷裕人, 豊田啓孝（岡山大）

渡辺哲史（岡山県工業技術センター）

期待される研究成果

製品レベルでの安全性シミュレーション手法確立

暗号ICの安全性評価指標確立

社会的意義

ICT機器の利便性向上、経済・社会活動の効率化

研究開発の概要

① 暗号ICのEMCマクロモデル同定 ② 安全性シミュレーション手法の提案 ③ サイドチャネル攻撃に関する標準評価指標の提案 ④ 提案法のフォルトインジェクション攻撃への適用可能性評価 ⑤ 地域企業技術者へのサイドチャネル攻撃問題の啓発および講習

目的： 製品レベルでのサイドチャネル攻撃に対する安全設計のための基盤技術確立

暗号機器のサイドチャネル攻撃に対する安全設計に関する研究開発

Ⅱ） 秘匿情報を含む不要電磁波が電子装置外部に放出

Ⅰ） 暗号化に伴い，ＬＳＩの電源系から秘匿情報を含むノイズ電流が流出

高周波測定器

暗号アルゴリズムをインストールしたＬＳＩを搭載したプリント回路基板

秘匿情報

Ⅲ） 放出された電磁波の受信・解析による情報漏えい

アンテナ

漏洩電磁波による情報漏洩（サイドチャネル攻撃）

EMCマクロモデルによる安全性シミュレーション法 提案手法

研究代表者：五百旗頭 健吾（岡山大学） 研究期間：平成２４年度～平成２５年度

問題点

平成24年度の成果

① 暗号ICのEMCマクロモデル同定 ② 安全性シミュレーション手法の開発 ③ アルゴリズムレベル対策法の開発 ④ フォルト注入攻撃環境の整備 ⑤ 地域企業技術者向けセミナーの開催 0 200 400 600 800

-0.1

0

0.1

Time (ns)

Volt

age (

V)

Measured Simulated

モデル同定しプリント基板レベルでの安全性シミュレーションに成功

FPGA

ZIC

IIC

1.0 V Vdd

Vss

270 m

6 n

5 m

3.3 V

abVRM

2221

1211

zz

zz

65 m 6 n

65 m 6 n

150 m

4 n

3 m

150 m

4 n

3 m

Ld

Cdc

製品試作前に安全性を評価可能 安全設計手法として適用可能

既存設計環境に組み込み容易 安全設計を低コストで実現可能

平成24年度に同定したEMCマクロモデル

平成25年度の実施内容

① モデル精度改善

② アルゴリズム／論理合成レベルの対策設計技術の提案手法による評価

③ 対策法に対する安全性評価指標の提案

④ 提案手法のフォルト注入攻撃予測への適用

⑤ 地元企業技術者への啓発

岡山情報通信技術研究会, Jun. 26, 2013 page 12 五百旗頭（岡山大学）

暗号機器へのサイドチャネル攻撃

Name ***** ****

Address *********

Phone **********

Birth date *******

Password ********

個人情報

企業機密

国家機密など

AAKAGNPZAAB3NzaC1yc2EAAAABJQAAAIBz

Q+bwOVjCPjwpiae5jQSvY1P6miJ7tx

T2IiIR0c2U54zUpDiyclePuWMLYPMRIABdfjiGQ

mzBlM8Dppnfx9qIZztNKM+p8V

2Za9Fw==

Private-Lines: 8

BHptDNubE6vK6fadUBklMTWTatWa9sM+kXj9Z

7g7LdsjKqki/n2SQQb2qOxp+jG8

yOBEJJSDACVvHUUWXAS0IbLliPsb1+9Qvhi7r

2yjK3U/fWDdxpGcSsdnXx7oAd11

1EeHZjhef2p5Ls0ES0zj+T6GDQyyutjQwdR/IIcL

ga45hmRq6pbMv+LP825tdMel

5IVB/2pbUXdXU6uT7OsAOFXSKgKWEavZ537

dzTWx7PJA8KXCs03G+AWq456sVjFW

S2ZbOiPSne9fsUBaDRpTUSE3tqdWRe3mjyHK

5XjqjzWWnnG2h+7+zAS4daf1/yMs

DeGBvJW1kzQDJkjdfWK976WC8r3Q==

Private-MAC:

16fc3242352d4c762d0b7e6334e5af66d9e73f0e

平文 暗号文 暗号処理に伴い発生する電磁波や電圧変動に暗号の秘密鍵情報が重畳

ICカード パソコンに内蔵のプリント基板

ICチップ ICチップ

Encryption／decryption

サイドチャネル攻撃の原理

暗号処理に伴う半導体のスイッチングにより発生する電流

– 電圧変動、電磁波放射を誘発

電圧変動、電磁波放射は「鍵」に依存し変動

電圧変動、電磁波放射の変動を計測機器で観測

統計解析し「鍵」を解読

岡山情報通信技術研究会, Jun. 26, 2013 page 13 五百旗頭（岡山大学）

Encryptcircuit

i en i ot

Cryptographic ICPDN

Vdd

Vss

i m

- Power supply

- VRM

- Decoupling

i IC= i en +i ot

Convolution

with k

評価環境

SASEBO-G (Side-channel Attack Standard Evaluation Board)

– サイドチャネル攻撃標準評価ボード

– 暗号ICのサイドチャネル攻撃に対する安全性評価用

– 産業総合研究所と東北大が共同開発

仕様

– 230 mm x 180 mm x 1.6 mm

– Glass epoxy, 8 layers

– Two Xilinx Virtex-II Pro FPGAs

– 24 MHz clock

岡山情報通信技術研究会, Jun. 26, 2013 page 14 五百旗頭（岡山大学）

CryptoFPGA

ControlFPGA

Pads for Cdc1

Crystal

VRM

270 mFVRM

FPGA

IIC

1.5 VVdd

Vss

Les

270 m

6 n

5 m

3.3 Vab

Va

Res

LesRes

ZIC

Lpkg

Lpkg

Vb

6 n65 m

6 n65 m 0.65 n

0.65 n

+

同定したEMCマクロモデルとPDN等価回路 SASEBO-G

研究開発の内容①

① 暗号ICのEMCマクロモデル同定

EMCマクロモデル（等価回路モデル）を同定

– 既存の回路シミュレータに組込み

• 導入コストが小さい

– 暗号ICのスイッチング電流に起因する電圧変動を予測

• ②安全性シミュレーション（次項）に適用

岡山情報通信技術研究会, Jun. 26, 2013 page 15 五百旗頭（岡山大学）

VRM

1.0 VVdd

Vss

ESL

270 m

6 n

5 m

3.3 Vab

Vb

ESR

ESLESR

Cdc

Ld

Ld

6 n65 m

6 n65 m

FPGA

IIC

ZIC

Lpkg

Lpkg

0.65 n

0.65 n

+

-0.1

0

0.1

Po

wer

Bo

un

ce (

V)

0 200 400 600 800

Time (ns)

Measured Simulated

同定した暗号IC電源系回路のEMCマクロモデル 電圧変動シミュレーション

研究開発の内容②

② 安全性シミュレーション手法の開発

岡山情報通信技術研究会, Jun. 26, 2013 page 16 五百旗頭（岡山大学）

0

0.2

0.4

0.6

0.8

1

0 100 200 3000

0.2

0.4

0.6

0.8

1

Traces0 100 200 300

Traces

Co

rrel

atio

nC

orr

elat

ion

Config (A)

Simulated Measured

Config (A)

Config (B)Config (B)

シミュレーション 実攻撃

被解析波形数 被解析波形数

相関係数

相関係数

予測した鍵が正しい

予測した鍵が誤り

予測した鍵が正しい

予測した鍵が誤り

サイドチャネル攻撃に対する安全性（脆弱性）を高精度に予測可能

研究開発の内容③

③ アルゴリズムレベル対策法の開発（AES暗号計算回路の改良）

岡山情報通信技術研究会, Jun. 26, 2013 page 17 五百旗頭（岡山大学）

[3:0]

[7:4]

+ + in

8 BI B S4

8

out

5

K. Nekado, Y. Nogami and K. Iokibe, “Very Short Critical Path Implementation of AES with

Direct Logic Gates,” IWSEC 2012, LNCS 7631, pp. 51‐68, Springer‐Verlag, 2012.

RRB

RRB

M4'

M4' μ2

ν

M4''

10

5

I4 M4'

M4''

M4''

RRBI

RRBI

10

D

E1

D1

E

F

G

H1

Y

Z

4 4

暗号アルゴリズムを改良

ハードウェア量25%減

速度10%弱低下

研究開発の内容⑤

地域企業技術者へのサイドチャネル攻撃問題の啓発および講習

平成24年度

– 情報セキュリティセミナーを開催

• 参加者： 岡山県内、近隣県より26名

– 次の展示会に出展

• コンピュータセキュリティシンポジウム, 松江市, 10月30日

• 岡山大学知恵の見本市2012, 岡山市, 11月2日

• ITソリューションフェア, 岡山市, 11月20日

• 産業総合研究所本格研究ワークショップ, 広島市, 11月26日

平成25年度(出展予定)

• イノベーション・ジャパン, 東京ビッグサイト, 8月29-30日

• コンピュータセキュリティシンポジウム, 高松市, 10月

• 岡山大学知恵の見本市2013, 岡山市, 11月1日

• リサーチパーク研究展示発表会, ITソリューションフェア他

岡山情報通信技術研究会, Jun. 26, 2013 page 18 五百旗頭（岡山大学）

まとめ

電磁・情報セキュリティ研究グループについて紹介した

– 研究目的

– メンバー教員

– 研究内容

SCOPE地域ICT振興型研究開発プロジェクトについて紹介した

– 暗号機器へのサイドチャネル攻撃

– プロジェクト概要および研究開発内容

岡山情報通信技術研究会, Jun. 26, 2013 page 19 五百旗頭（岡山大学）