暗号処理デバイスへの電力差分解析攻撃に対するアルゴリズムレベルでの耐性評価に関する研究

暗号処理デバイスへの電力差分解析攻撃に対するアルゴリズムレベルでの耐性評価に関する研究暗号処理デバイスへの電力差分解析攻撃に対するアルゴリズムレベルでの耐性評価に関する研究電気通信大学大学院電気通信学研究科　情報工学専攻 0541005　佐々木明彦

アジェンダ • 背景と目的 • 電力差分解析 • 対策手法 • 耐性評価手法 • 電力差分解析のシミュレーション • Basic Data-Whitening Routine への適用 • DES への適用 • 考察 • まとめ

背景と目的

暗号技術 • 情報の秘匿・認証 • 日常生活に不可欠な基盤技術 • 高い信頼性が求められる近年、暗号デバイス内の秘密情報にアクセスする攻撃手法が出現

暗号デバイスを直接的・間接的に解析する手法暗号デバイスを直接的・間接的に解析する手法 • 破壊解析 • 故障誘導解析 • サイドチャネル解析 • タイミング解析 • 電力解析 • 単純電力解析 • 電力差分解析 • 音響解析

サイドチャネル解析 暗号デバイス入力出力演算秘密情報（鍵）相関サイドチャネル情報処理時間, 消費電力, 電磁波など電力差分解析

電力差分解析(Differential Power Analysis, DPA) • Kocherらによって提案されたサイドチャネル解析の一つ • 演算中の消費電力を繰り返し測定して統計処理することで秘密情報を特定する • 未対策の暗号デバイスの多くに有効 • 攻撃の痕跡を残さない強力な攻撃手法

シミュレーションによるDPA耐性評価の意義 • 暗号デバイスのDPA耐性の評価は必須 • デバイスの試作はコストが高い設計段階に合わせたシミュレーション • デバイス作成前にDPA耐性を評価 • 対策手法の検討 • 攻撃手法の研究

電力差分解析

選択関数 選択関数 D (C , Ks ) C : 暗号文など既知の値 Ks : 部分鍵など未知の値参照ビット・・・アルゴリズム中の着目したビット電力差分解析における攻撃箇所参照値・・・参照ビットの値 (0 or 1) 選択関数・・・参照値の予想値を返す関数

ＤＰＡの原理鍵の予想が正しい場合 参照値の参照値の予想値真の値消費電力予想値真の値消費電力 1 1 P+a 1 1 P+a 1 1 P+a 予想値で分類 1 1 P+a 平均 P+a 0 0 P 1 1 P+a 差あり 0 0 P 1 1 P+a 1 1 P+a 0 0 P 1 1 P+a 0 0 P 平均 P 0 0 P 0 0 P 0 0 P 0 0 P 選択関数

ＤＰＡの原理鍵の予想が正しくない場合 参照値の参照値の予想値真の値消費電力予想値真の値消費電力 1 1 P+a 1 1 P+a 0 1 P+a 予想値で分類 1 0 P 平均 P+a/2 1 0 P 1 0 P 差なし 1 0 P 1 1 P+a 1 1 P+a 0 1 P+a 0 1 P+a 0 1 P+a 平均 P+a/2 0 0 P 0 0 P 0 0 P 0 0 P 選択関数

DPAの手順 • デバイスが演算中の消費電力を複数回測定 • 鍵を予想して選択関数で消費電力をグループ分け • グループ毎に平均して電力差分を取る • 繰り返して電力差分がもっとも大きくなった鍵を正解と予想する

対策手法

耐性評価手法の分類 • アルゴリズムレベル • Transformed Masking Method • Duplication Method • Unique Masking Method など • ハードウェアレベル • Masked-AND • RSL • WDDL など

DESアルゴリズム • DataEncryptionStandard • ブロック暗号 • 全16段で構成

Transformed Masking Methodを適用した DES アルゴリズム • 乱数 X によりマスク • 全16段を通して乱数でマスクされる • マスク対応のSMBox を使用

Duplication Methodを適用した DES アルゴリズム • 乱数 X により分割・冗長化 • 全16段を通して2系統の演算 • SBox も2系統必要

耐性評価手法

関連研究 高速低コスト高精度

ディジタルモデル • アルゴリズムレベルの評価手法 • アルゴリズムビットと実装ビットの相関に着目 • 定性的な評価未対策のアルゴリズム中のデータ表現アルゴリズムビット 01100101… 実装するアルゴリズム中のデータ表現実装ビット 10100100…

Hamming Distance Model • レジスタ遷移時のハミング距離から消費電力を概算 • 組み合わせ回路に適用するのは煩雑 • RTLレベルのリークモデルに近い手法 01100101… ハミング距離レジスタの遷移 10100100… 変化したビット

リークモデル • RTLレベルでの評価手法 • 論理シミュレータでスイッチング回数を測定 • ハードウェア記述言語での記述が必要

提案手法 • アルゴリズムレベルでの評価手法 • 定量的な評価 • 組み合わせ回路を考慮できる関連手法と異なり、アルゴリズムレベルで定量的な評価が可能

電力差分解析のシミュレーション

参照値と消費電力 ゲートの入力または出力の１線の値を確定ゲートの遷移確率リーク電流を除いたゲートの消費電力電力差分解析で考慮すべき消費電力

遷移確率に比例する電力 スタティックな電力 CMOS回路の消費電力・・・負荷容量の充放電・・・貫通電流・・・リーク電流

リーク電流が無視できる場合のCMOS回路の消費電力リーク電流が無視できる場合のCMOS回路の消費電力消費電力は遷移確率に比例する

論理ゲートの遷移確率 入力または出力の1線に着目して論理ゲートの遷移を考察

出力の値に注目した２入力ＡＮＤゲートの遷移確率出力の値に注目した２入力ＡＮＤゲートの遷移確率

Y’=0 : 3 / 12 = 1 / 4 Y’=1 : 3 / 4 Y→Y’ の遷移出力の値に注目した２入力ＡＮＤゲートの遷移確率遷移確率

A=0 : 2 / 8 = 1 / 4 A=1 : 4 / 8 = 1 / 2 Y→Y’ の遷移入力の値に注目した２入力ＡＮＤゲートの遷移確率遷移確率

２入力ＡＮＤゲートの遷移確率 着目した端子と遷移確率 1 : 2 1 : 3

２入力論理ゲートの遷移確率

２入力ＡＮＤゲートの消費電力 ゲートの出力遷移による消費電力 3 : 1 2 : 1 実験条件 NanoSim 0.35μmプロセス

２入力論理ゲートの消費電力 : : : : : :

２入力論理ゲートの遷移確率と消費電力 : : : : : :

遷移確率に比例する電力 スタティックな電力 CMOS回路の消費電力・・・負荷容量の充放電・・・貫通電流・・・リーク電流電力差分解析の差分計算によりスタティックな電力は消える

電力差分解析で考慮すべきCMOS回路の消費電力電力差分解析で考慮すべきCMOS回路の消費電力電力差分解析に関係する消費電力 DPA消費電力

ゲートの入力または出力の１線の値を確定 電力差分解析で考慮すべき消費電力参照値と消費電力のまとめゲートの入力または出力の１線の値を確定ゲートの遷移確率リーク電流を除いたゲートの消費電力電力差分解析で考慮すべき消費電力

DPA消費電力の概算 電力差分解析の可否の判断に必要なこと ×　高精度の消費電力 ○　脆弱性に関係する電力の有無 • 電力差分解析において攻撃箇所となる参照ビットを含むビット列に着目 • 各ビットで消費電力の重みは同じとする • ビットが 1 のときの消費電力を 1ビットが 0 のときの消費電力を 0 と正規化攻撃箇所のビット列のハミングウェイトを消費電力と概算する

ハミングウェイトを用いたDPA消費電力の概算

DPAシミュレーションの暗号アルゴリズムへの適用DPAシミュレーションの暗号アルゴリズムへの適用 • Basic Data-Whitening Routine • DES 対策手法なし / 対策手法あり 1次電力差分解析 / 2次電力差分解析

Basic Data-Whitening Routineへの適用

Basic Data-Whitening Routineに対するDPAシミュレーション 1. 未対策の Whitening Routine に対する1次電力差分解析 2. 乱数マスクを適用した Whitening Routine に対する1次電力差分解析 3. 乱数マスクを適用した Whitening Routine に対する2次電力差分解析 Basic Data-Whitening Routine : 暗号アルゴリズムに見られる XOR 演算

未対策の Whitening Routine (W1) W1(PTI) { A: Result = PTI + SecretKey ... other operations ... ... return CTO }

暗号処理デバイスへの電力差分解析攻撃に対するアルゴリズムレベルでの耐性評価に関する研究

暗号処理デバイスへの電力差分解析攻撃に対するアルゴリズムレベルでの耐性評価に関する研究

Presentation Transcript