Microsoft PowerPoint _seminar_cardis2015.pptx

Size: px

Start display at page:

Download "Microsoft PowerPoint _seminar_cardis2015.pptx"

まさとしこいまる
6 years ago
Views:

1 ハードウェア脆弱性評価の最新技術動向に関するセミナー CARDIS 参加報告 2016 年 2 月 4 日独立行政法人情報処理推進機構技術本部セキュリティセンター 1

2 ハードウェアセキュリティトピックの紹介 2

3 様々な情報機器に用いられるセキュリティ IC チップ IC チップ SIM カードを内蔵 USB メモリ携帯電話マイナンバーカード PayTV カード 3

4 利用環境によって異なる脅威サーバデスクトップ PC 複合機オフィス等物理アクセスが制限された環境に設置される部外者が直接アクセスする可能性は低い ( 適切に管理されていれば ) IC カード USB メモリ携帯電話どこにでも自由に持ち運べる様々な環境で利用されるデバイス ( 紛失盗難等のリスク通信データの盗聴等のリスクは固定環境より増大 ) 想定される利用環境における脅威攻撃の分析が重要脅威攻撃に対抗できるセキュリティ対策が必要となる 4

5 攻撃方法の分類 Non-Invasive Attack チップ内部への物理的侵入を伴わない攻撃例 : サイドチャネル解析 Invasive Attack チップ内部への物理的侵入を伴う攻撃例 : プロービング回路改変 Semi-Invasive Attack パッケージの開封 ( 穴開け ) 程度は行うがパシベーション層までは破壊しない例 : レーザー攻撃 5

6 サイドチャネル攻撃 (Side Channel Analysis) 暗号機能を実装したハードウェア ( スマートカード等 ) の動作中にそのハードウェアの状態を観測することで得られる情報を利用して暗号鍵といった秘密情報の復元を試みる消費電力電力解析 (Power Analysis) 電磁場電磁解析 (Electromagnetic Analysis) 処理時間タイミングアタックその他キャッシュヒット / ミス分岐予測 6

7 AES アルゴリズム暗号化処理の流れ Cipher(byte in[4*nb], byte out[4*nb], word w[nb*(nr+1)]) begin 平文暗号文拡大鍵 byte state[4,nb] // 内部変数 (4 行, Nb 列の行列 ) state = in AddRoundKey(state, w[0, Nb-1]) // Nb:4, Nr:10,12,14 for 128, 192, 256-bit key, w: 拡大鍵, 要素数 Nb *(Nr+1) SubBytes: 行列要素の置換 end for round = 1 step 1 to Nr 1 SubBytes(state) // ShiftRows(state) // MixColumns(state) // AddRoundKey(state, w[round*nb, (round+1)*nb-1]) end for SubBytes(state) ShiftRows(state) AddRoundKey(state, w[nr*nb, (Nr+1)*Nb-1]) out = state ShiftRows: 行単位の左シフト処理 MixColumns: 列ベクトル単位のデータの変換 AddRoundKey: 列ベクトルと拡大鍵 w との XOR 演算 7

8 AES:AddRoundKey の処理 4 ブロックを 1 列として, 列ごとに拡大鍵と XOR 処理 W L W L+c l+1 W L+2 W L+3 L=round*Nb XOR S 0,c S 0,0 S 0,1 S 0,2 S 0,3 S 1,c S 1,0 S 1,1 S 1,2 S 1,3 S 2,c S 2,0 S 2,1 S 2,2 S 2,3 S 3,c S 3,0 S 3,1 S 3,2 S 3,3 S 0,c S 0,0 S 0,1 S 0,2 S 0,3 S 1,c S 1,0 S 1,1 S 1,2 S 1,3 S 2,c S 2,0 S 2,1 S 2,2 S 2,3 S 3,c S 3,0 S 3,1 S 3,2 S 3,3 8

9 AES:SubBytes の処理 128 ビットのデータを 1 バイト (8 ビット ) ごとに 16 のサブブロックに分割各ブロックでは 1 バイトの入力データを 1 バイトの出力データへ置換 S 0,0 S 0,1 S 0,2 S 0,3 S 1,0 S 1,1 S 1,2 S 1,3 S r, c S 2,0 S 2,1 S 2,2 S 2,3 S-Box FIPS-197 Figure 7 S 0,0 S 0,1 S 0,2 S 0,3 S 1,0 S 1,1 S 1,2 S 1,3 S r, c S 2,0 S 2,1 S 2,2 S 2,3 S 3,0 S 3,1 S 3,2 S 3,3 S 3,0 S 3,1 S 3,2 S 3,3 9

10 AES:ShiftRows の処理 4 ブロックを 1 行として, 行ごとに左シフト処理 S 0,0 S 0,1 S 0,2 S 0,3 S 1,0 S 1,1 S 1,2 S 1,3 S 2,0 S 2,1 S 2,2 S 2,3 S 3,0 S 3,1 S 3,2 S 3,3 シフトなし左に1つシフト左に2つシフト左に3つシフト S 0,0 S 0,1 S 0,2 S 0,3 S 1,1 S 1,2 S 1,3 S 1,0 S 2,2 S 2,3 S 2,0 S 2,1 S 3,3 S 3,0 S 3,1 S 3,2 10

11 AES:MixColums の処理 4 ブロックを 1 列として, 列ごとに列ベクトルの変換 S 0,c S 1,c S 2,c S 3,c = S 0,c S 1,c S 2,c S 3,c S 0,c S 0,0 S 0,1 S 0,2 S 0,3 S 1,c S 1,0 S 1,1 S 1,2 S 1,3 S 2,c S 2,0 S 2,1 S 2,2 S 2,3 S 3,c S 3,0 S 3,1 S 3,2 S 3,3 S 0,c S 0,0 S 0,1 S 0,2 S 0,3 S 1,c S 1,0 S 1,1 S 1,2 S 1,3 S 2,c S 2,0 S 2,1 S 2,2 S 2,3 S 3,c S 3,0 S 3,1 S 3,2 S 3,3 11

12 AES: S-Box の定義の詳細 1 バイト (8 ビット ) の値に対し逆元 : のにおける乗法の逆元 ( ただしのときは ) アフィン変換 : 出力 :

13 AES: S-Box の実装テーブル参照ソフトウェア向き [FIPS197] より 13

14 AES: S-Box の実装数学的定義にしたがって逆元計算やアフィン変換を実装 GF(2 8 ) をGF((2 4 ) 2 ) やGF(((2 2 ) 2 ) 2 ) と見て逆元演算回路を構成ハードウェア向き S-Box の実装例 : [CD05] Canright s Very Compact AES S-box 14

15 公開鍵暗号の例 : RSA 暗号の原理 p, q: 巨大な素数 n=pq: 巨大な素数の積 e: 公開鍵, d: 秘密鍵暗号化 : c m e (mod n) 復号 : m c d (mod n) 署名 : s m d (mod n) 署名検証 : m s e (mod n) 巨大な数のべき乗剰余演算が必要 15

16 べき乗剰余演算の実装バイナリ法 (Square-and-Multiply) アルゴリズム入力 :, : の 2 進数表現 0 1 for i from 1 to n-1 do mod if 1then mod end end return 16

17 べき乗剰余演算に対する SPA Square と Multiply のパターンから指数が分かる入力 :, : の 2 進数表現 0 1 for i from 1 to n-1 do mod if 1then mod end end return S M 17

18 サイドチャネル攻撃対策 : message blinding と exponent blinding mod mod mod message blinding exponent blinding blinded exponentiation message unblinding S と M の出現順序は指数に依存する dがランダムならば指数のビットの出現順はRSAの実行ごとに異なる mがランダムならは中間値がランダムになり予測困難になる DPAは中間値の予測に基づく中間値が予測できないと DPAは有効でない 18

19 Java Card Javaテクノロジに基づくアプレットと呼ばれる Javaベースのアプリケーションを搭載できる複数のアプレットを搭載できる Applet Applet Applet Java Card APIs Java Card Virtual Machine Card OS 19

20 Java Card のセキュリティ機構 Type Safety 例えば整数 (int) 型の値を異なる型に再解釈すること (type confusion) は禁止される Byte-code Verifier 不正なバイトコードを検出するカード上に実装される場合とカード外で実行される場合がある Defensive Virtual Machine 不正なバイトコードの実行を防ぐ Firewall あるアプレット上のデータを他のアプレットから保護する 20

21 Java Card Byte Code Verifier (BCV) バイトコードの整合性をチェック型の整合性スタックオーバーフロー / アンダーフローオブジェクトの正しい初期化 Off-Card BCV Java Class Files Byte Code Converter Java Card Files Byte Code Verifier (BCV) Byte Code Signer On-Card BCV Java Card Files Byte Code Verifier (BCV) Installed Applet 21

22 Java Card Firewall アプレットが他のアプレットのデータやメソッドにアクセスすることを禁止する Applet Applet Applet Java Card Runtime Environment 22

23 Java Card: Type confusion どんなリファレンスも元のタイプのリファレンスとして参照することしか許されないもしbyteの配列がshortの配列としてアクセスされると? byte[4] として読み出し short[4] として読み出し XXXX XXXX 配列の境界を超えたアクセス! この現象をtype confusionと呼ぶ 23

24 ワークショップの内容紹介 24

25 カンファレンス情報 CARDIS (14th Smart Card Research and Advanced Application Conference) Bochum, Germany 2015/11/4-11/6 17 本の論文が採用 6 個のセッション Side-Channel Attacks Java Cards Evaluation Tools Fault Attacks Countermeasures Implementations 2 件の招待講演注 : 以下のスライド中の図は特に指定がない場合は CARDIS のスライドが出典である 25

26 Higher Order Threshold Implementation of the AES S box Thomas De Cnudde 1, Begül Bilginand 1, Oscar Reparaz 1, Ventzislav Nikov 2, and Svetla Nikova 1 1 KU Leuven, ESAT COSIC and iminds, Belgium 2 NXP Semiconductors, Belgium pdf 26

27 Higher-Order Threshold Implementation of the AES S-box マスキングサイドチャネル攻撃への対策のひとつ中間値をランダムな値で XORなどの演算でマスクすることによりリークを防ぐ例 : AES の第 1 ラウンド ( : 平文 : 鍵 ) マスキングなしマスキングの例 (boolean masking) 27

28 Higher-Order Threshold Implementation of the AES S-box グリッチの影響グリッチ ( 入力信号の変化 ) があると消費電力がマスクなしの生のデータに依存することからリークが完全には防げない古典的なマスク付き AND 回路入力 :, 出力 : and 表は [NS06] より入力にグリッチが起こった時に影響を受けるゲートの数スイッチングが起こる数消費電力の変動につながる図は [NS06] より 28

29 Higher-Order Threshold Implementation of the AES S-box 2nd-Order Attack 同じマスクに関連づいた 2 個の中間値からのリークを利用する攻撃 2つの中間値, が同じマスクでマスキングされていると, マスクされた中間値同士の排他的論理和を取るとマスクがなくなる! 29

30 Higher-Order Threshold Implementation of the AES S-box Threshold Implementation 入力が一様 d th order non-completeness: f の要素関数 f i の d 個以下のどの組み合わせも少なくとも 1 個の input share x i と独立であるグリッチが起こってもリークが起こらない 30

31 Higher-Order Threshold Implementation of the AES S-box AES S-box をマスキングする 31

32 Higher-Order Threshold Implementation of the AES S-box 実装の結果 2nd-order に対するセキュリティ 32

33 Java Card Virtual Machine Compromising from a Bytecode Verified Applet Julien Lancia 1 and Guillaume Bouffard 2 1 THALES Communications and Security S.A.S 2 Agence Nationale de la Sécurité des Systèmes d Informations (ANSSI) 33

34 Java Card Virtual Machine Compromising from a Bytecode Verified Applet Java CardのByte Code Verifierに未チェック項目 Byte Code Verifierを通るコードで不正なネイティブメソッド呼び出しが可能になる 2015 年 9 月に出されたOracleのパッチ (version 3.0.5u1) で対策されたそれより前のバージョンには脆弱性あり 34

35 Misuse of Frame Creation to Exploit Stack Underflow Attacks on Java Card Benoit, Laugier and Tiana, Razafindralambo Department of Electrical Engineering ESAT/COSIC and iminds, KU Leuven 35

36 Misuse of Frame Creation to Exploit Stack Underflow Attacks on Java Card フレームとはデータや途中経過メソッドの返り値を格納するための領域であるメソッドが呼び出されるたびに生成されるフレームはJava VMのスタック上に確保される各フレームはそれぞれローカル変数やオペランドスタックを保持しているフレームサイズはコンパイル時に決定される 36

37 Misuse of Frame Creation to Exploit Stack Underflow Attacks on Java Card メソッド呼び出し時にフレームが作成される時にフレームサイズを改ざんすると前のフレームとオーバーラップしたフレームが生成される Fault attack でそれを引き起こす 37

38 Misuse of Frame Creation to Exploit Stack Underflow Attacks on Java Card フレーム生成 38

39 Misuse of Frame Creation to Exploit Stack Underflow Attacks on Java Card 壊れたフレームを生成して攻撃 39

40 A Semi Parametric Approach for Side Channel Attacks on Protected RSA Implementations Guilherme Perin and Łukasz Chmielewski Riscure BV 40

41 A Semi-Parametric Approach for Side-Channel Attacks on Protected RSA Implementations 対策ありの RSA の実装に対するサイドチャネル攻撃のフレームワーク Message Blinding Exponent Blinding 41

42 A Semi-Parametric Approach for Side-Channel Attacks on Protected RSA Implementations Vertical side-channel attack 秘密情報が測定ごとに等しいことを仮定 Horizontal side-channel attack 秘密情報が測定ごとに異なっていると仮定 42

43 A Semi-Parametric Approach for Side-Channel Attacks on Protected RSA Implementations Learning Phase Unsupervised Learning による Leakage Assessment トレースのセットを入力として Point of Interest を見つける Horizontal Attack Point of Interest とトレースのセットを入力として指数の近似を求める Point of Interest の選択を最適化指数の近似トレースを入力として Attacking Phase t-testによってpoint of Interestの精度を高める精度を高めたPoint of Interestを入力としてHorizontal Attackを繰り返して指数の近似精度を高める最終的な確率の計算トレースのセットと精度を高めた指数を入力としてモジュロ演算における最終的な ( それが 2 乗演算である ) 確率を求めるエラー検出と訂正 1つのトレースに対して精度を高めた指数と最終的な確率を入力として正しい指数あるいはエラーを返す 43

44 A Semi-Parametric Approach for Side-Channel Attacks on Protected RSA Implementations 結論 1 個のトレースはからはかなりの情報漏れがある十分なデータを復元できる改善の余地は多くある 44

45 Precise Laser Fault injections into 90nm and 45nm SRAM cells Bodo Selmke 1, Stefan Brummer 1, Johann Heyszl 1, and Georg Sigl 2 1 Fraunhofer Institute for Applied and Integrated Security 2 Technische Universität München, Department of Electrical and Computer Engineering 45

46 Precise Laser Fault injections into 90nm and 45nm SRAM-cells フォールトアタックは正確なフォールトインジェクションを要求する今日のフィーチャーサイズのチップに対してどれくらい正確にフォールトを起こすことができるだろうか? 46

47 Precise Laser Fault injections into 90nm and 45nm SRAM-cells 裏面からのレーザー攻撃 FPGAのBlock RAM (BRAM) を攻撃対象にする以下のチップをテスト 90nm: Xilinx Spartan-3A 45nm: Xilinx Spartan-6 47

48 Precise Laser Fault injections into 90nm and 45nm SRAM-cells Spartan-6 (90nm) での結果 Pulse energy: 1nJ Pulse energy: 1.5nJ 48

49 Precise Laser Fault injections into 90nm and 45nm SRAM-cells Spartan-6 (45nm) での結果 Pulse energy: 1nJ Pulse energy: 1nJ データ依存 49

50 Precise Laser Fault injections into 90nm and 45nm SRAM-cells 結論 Spartan-3A (90nm) 90nmサイズに対して単一ビットフォールトは十分可能特定のビットを特定の値にセットすることが可能最も制限的なフォールトモデルが適用可能 Spartan-6 (45nm) 単一ビットのセットはまだ可能であるが成功率は落ちる隣接したビットに影響が及ぶことが多い単一ビットフォールトが起こせるかどうかはデータ依存 50

51 From Code Review to Fault Injection Attacks: Filling the Gap using Fault Model Inference Louis Dureuil 1,2,3, Marie Laure Potet 1,3, Philippe de Choudens 1,2, Cécile Dumas 1,2, and Jessy Clédière 1,2 1 Univ. Grenoble Alpes 2 CEA, LETI, MINATEC Campus 3 CNRS, VERIMAG 51

52 From Code Review to Fault Injection Attacks: Filling the Gap using Fault Model Inference Common Criteria (ISO/IEC 15408) におけるスマートカードと類似デバイスの脆弱性評価値の範囲次の攻撃能力を持つ攻撃者に対するTOEの抵抗力 0~15 レート付けなし 16~20 基本 21~24 基本強化 25~30 中 31 以上高 [CCD13] より TOE: Target Of Evaluation 要素識別悪用所要時間 1 時間未満日未満週間未満 2 4 1カ月未満 3 6 1カ月を超える 5 8 非現実的 * * 専門知識素人 0 0 熟練者 2 2 エキスパート 5 4 複数のエキスパート 7 6 TOEの知識公開 0 0 制限 2 2 秘密 4 3 危機的 6 5 非常に重要なハードウェア設計 9 該当なし TOEへのアクセス 10サンプル未満サンプル未満サンプル未満サンプルを超える 3 6 非現実的 * * 機器なし 0 0 標準 1 2 特殊 3 4 特別注文 5 6 複数の特別注文 7 8 オープンサンプル公開 0 該当なし制限 2 該当なし秘密 4 該当なし危機的 6 該当なし 52

53 From Code Review to Fault Injection Attacks: Filling the Gap using Fault Model Inference Common Criteria における脆弱性評価侵入テスト攻撃を成功させようと試みる攻撃成功への所要時間 (ET): 所要時間は評価の尺度のひとつコード解析あるフォールトモデルを用いてアタックパスを探求攻撃の成功率 (T=Fs/F) をはじき出す要素所要時間熟練度 TOEの知識 TOEへのアクセス装置オープンサンプル 53

From Code Review to Fault Injection Attacks: Filling the Gap using Fault Model Inference Device Level 評価対象と攻撃の装置に紐づいたフォールトモデルの特性を示す攻撃のパラメタに基づいて可能なフォールトを記述

54 From Code Review to Fault Injection Attacks: Filling the Gap using Fault Model Inference Device Level 評価対象と攻撃の装置に紐づいたフォールトモデルの特性を示す攻撃のパラメタに基づいて可能なフォールトを記述それぞれの種類のフォールト発生の確率を関連付ける Probablistic Fault Model (PFM) Application Level フォールトインジェクションシミュレータを PFM と結びつける入力としてのPFM: アプリケーションへの攻撃の精密なテスト出力としてのPFM: アプリケーションの堅牢さの定量化 54

55 From Code Review to Fault Injection Attacks: Filling the Gap using Fault Model Inference 実験結果 V : Vulnerability rate T : Traditional vulnerability rate ϕ : physical success rate from experiments on cards 55

From Code Review to Fault Injection Attacks: Filling the Gap using Fault Model Inference 実験結果 Attack Potential における Elapsed Time( 所要時間 ) の要素 : Card

56 From Code Review to Fault Injection Attacks: Filling the Gap using Fault Model Inference 実験結果 Attack Potential における Elapsed Time( 所要時間 ) の要素 : Card A: s = 1.27 attacks Card B: s = 3.30 attacks 所要時間 (Elapsed Time) < 1 時間 0 < 1 日 3 < 1 週間 4 < 1 か月 6 > 1 か月 8 Not Practical - 悪用 (Exploitation Rating) 56

57 From Code Review to Fault Injection Attacks: Filling the Gap using Fault Model Inference この手法の Application of Attack Potential の脆弱性評価の各要素への適用可能性要素 V 所要時間熟練度部分的 (Pr(p): 攻撃パラメタpを選択する確率 ) TOEの知識部分的 (Pr(p): 攻撃パラメタpを選択する確率 ) TOEへのアクセス装置部分的 (M d,e : フォールトモデル ) オープンサンプル 57

58 The not so distant future: Distance bounding protocols on smartphones Sébastien Gambs 1, Carlos Eduardo Rosar Kós Lassance 2, and Cristina Onete 3 1 Université de Rennes 1 Inria 2 Université de Rennes 1 / Télécom Bretagne 3 Inria / INSA Rennes 58

The not-so-distant future: Distancebounding protocols on smartphones Relay Attack Picture from http://cdn.

59 The not-so-distant future: Distancebounding protocols on smartphones Relay Attack Picture from Distance-Bounding Protocol Verifier と Prover との物理的な距離が近い場合のみ認証を許可する信号遅延時間で判断する 59

60 The not-so-distant future: Distancebounding protocols on smartphones Distance-bounding protocolのスマートフォンでRFIDタグエミュレーションモードを動かしている場合での実装可能性を探求ハードウェア (SIMカード携帯電話のプロセッサ ) の変更なしのAndroid 端末を対象とする実装してみた結果 : relay attackで1.5ms 以上の遅延が引き起こされるのであれば relay attackを十分検出できる 60

61 まとめ 61

62 まとめ Common Criteria 流評価 Fault Injection 攻撃耐性の評価を Application of Attack Potential to Smartcards のレーティング算出につなげたことは注目に値する Threshold Implementation の研究が盛んである 2nd order attack に対するセキュリティを主張した実装例 Java Card への攻撃攻撃方法についていろいろ研究されている対策ありの RSA の実装への攻撃 Message Blinding/Exponent Blindingの対策ありのRSA 実装に対しての攻撃が研究されているいろいろな乗算方式に対する攻撃についても将来的な研究動向に注目 45nm プロセスのチップへの攻撃レーザー攻撃による単一ビットのセットは 45nm プロセスのチップに対しても手が届く範囲である 62

63 参考文献 [FIPS197] National Institute of Standards and Technology (NIST): Advanced Encryption Standard (AES) FIPS Publication Nov 2001 AESの定義 [CCD13] Application of Attack Potential to Smartcards, Joint Interoretation Library, 日本語訳 ( 参考 ): スマートカードへの攻撃能力の適用, Common Criteriaにおけるハードウェア評価についてのサポート文書 [CD05] Canright, D.: A Very Compact S-Box for AES. Canrightの非常にコンパクトなAESのS-Box 実装 [NS06] Nikova, S., Rechberger, C., Rijmen, V.: Threshold Implementations Against Side-Channel Attacks and Glitches. AESのThreshold Implementation について CARDIS 2015 Program プレゼンテーションスライドがダウンロード可能 63

CLEFIA_ISEC発表

CLEFIA_ISEC発表 128 ビットブロック暗号 CLEFIA 白井太三渋谷香士秋下徹盛合志帆岩田哲ソニー株式会社名古屋大学目次背景アルゴリズム仕様設計方針安全性評価実装性能評価まとめ 2 背景 AES プロジェクト開始 (1997~) から 10 年 AES プロジェクト攻撃法の進化代数攻撃関連鍵攻撃新しい攻撃法への対策暗号設計法の進化 IC カード, RFID などのアプリケーション拡大