Microsoft PowerPoint - RCIS2008_Satoh_ok

ハードウェアセキュリティ技術の動向情報セキュリティ研究センターハードウェアセキュリティ研究チーム佐藤証 1

ハードウェアセキュリティ研究チーム暗号モジュールの安全性評価暗号回路の高性能実装技術暗号回路IPマクロ標準評価環境の整備暗号モジュール評価制度への貢献とガイドライン策定 ISO/IEC標準暗号LSI 組み込みセキュリティ 2 ネットワークセキュリティアプリケーション開発

暗号モジュールの安全性に関する研究暗号回路とシステムに関する最も権威のある学会 CHES (Cryptographic Hardware and Embedded Systems) では, サイドチャネル攻撃の論文が半数を占めている攻撃対策アルゴリズムの論理的研究から,MPU や FPGA ボード上の実装による物理的な実験がより重要となってきている 125 100 75 50 25 0 CHES の論文投稿数と参加者の推移 rejected accepted 参加者数 243 230 220 210 170 180 185 188 267 1999 2000 2001 2002 2003 2004 2005 2006 2007 300 250 200 150 100 50 0 40 35 30 25 20 15 10 5 0 CHES の論文のカテゴリサイドチャネル攻撃 1999 2000 2001 2002 2003 2004 2005 2006 2007 Others Random Number Generation Algebraic Algorithms Implementations (Symmetric-Key) Implementations (Public-Key) Side-Channel (Symmetric-Key) Side-Channel (Public-key) Side-Channel (General) 3

様々な物理解析攻撃法モジュールへの様々な入出力の組み合わせによって解析を行う論理的に安全な暗号アルゴリズムを用いていても実装の不備を突く物理解析攻撃に対する安全性は保障されない非破壊攻撃破壊攻撃コンピュータウィルスキーボード入力光電磁波放射線照射故障利用解析攻撃平文暗号文鍵パスワード正規データ入出力不正入力漏洩情報モジュール内部への入力モジュール内部からの出力 4 周波数操作電圧操作ノイズ印加電解磁界放射線照射処理時間サイドチャネル攻撃電流電圧電磁波回路パターン解析配線プローブ, 輻射観測

FIPS 140-2 (ISO/IEC 19790) 5 米国連邦標準 FIPS140-2 暗号モジュールのセキュリティ要件をベースに標準化されたISO/IEC 19790の国内評価制度 JCMVPが始まっている 11のカテゴリ毎 ( ISO/IEC 19790ではカテゴリ8は削除 ) に定められたセキュリティ要件に対して1~4のレベル評価が行われる最新の研究であるサイドチャネル攻撃などを取り入れたFIPS140-3への改定作業も進んでいる CMVP 認証を受けたモジュール数 160 140 120 100 80 60 40 20 0 Level 4 Level 3 Level 2 Level 1 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 1 2 3 4 5 6 7 8 9 10 11 セキュリティ要件暗号モジュール仕様暗号モジュールのポートインタフェース役割, サービス, 及び認証有限状態モデル物理セキュリティ動作環境暗号鍵管理電磁妨害 / 電磁両立性 (EMI/EMC) 自己テスト設計保証その他の攻撃の対処規定内容暗号モジュールの仕様と FIPS 140-2 の適用範囲情報の入出力ユーザーの役割や役割ごとに提供されるサービス, ユーザーの認証方法状態遷移の記載表面処理やカバー等の物理的セキュリティ要件暗号モジュールの動作環境鍵生成, 鍵の入出力等電磁波に対する要件暗号モジュールの正しい動作を確認するテストガイドライン等 FIPS 140-2 で規定されていない攻撃への対処方法

FIPS 140-2 から FIPS 140-3 へ 2007 年 7 月に FIPS 140-3 のドラフトを公開セキュリティレベルは 4 段階から 5 段階に変更有限状態モデルはライフサイクル保証の中で規定 EMI/EMC の項は削除ソフトウェアセキュリティと非破壊の物理セキュリティ ( サイドチャネル攻撃 ) の項を新設暗号鍵管理は, 暗号鍵を含む Security Sensitive Parameter 管理に設計保証は, 設計からテスト配送運用等を含むライフサイクル保証に 6 1 2 3 4 5 6 7 8 9 10 11 FIPS 140-2 暗号モジュール仕様暗号モジュールのポートインタフェース役割, サービス, 及び認証有限状態モデル物理セキュリティ動作環境暗号鍵管理電磁妨害 / 電磁両立性 (EMI/EMC) 自己テスト設計保証その他の攻撃の対処 1 2 3 4 5 6 7 8 9 10 11 FIPS 140-3 暗号モジュール仕様暗号モジュールのポートインタフェース役割, サービス, 及び認証ソフトウェアセキュリティ動作環境物理セキュリティ物理セキュリティ ( 非破壊 ) Security Sensitive Parameter 管理自己テストライフサイクル保証その他の攻撃への対処

FIPS 140-3 のサイドチャネル攻撃解析手法の単純さの度合いでレベル分けされているが詳細は未定電磁波解析攻撃や故障利用解析攻撃は入っていない各レベルに要求される試験自体が大きく変わる可能性があるセキュリティレベルタイミング解析攻撃単純電力解析攻撃差分電力解析攻撃 1, 2 3 レベル3に要求される試験装置と試験手法レベル3に要求される試験装置と試験手法 4 レベル 4 に要求されるレベル 4 に要求されるレベル 4 に要求される ( 主要な攻撃への対策 ) 試験装置と試験手法試験装置と試験手法試験装置と試験手法 5 レベル 5 に要求されるレベル 5 に要求されるレベル 5 に要求される ( 全ての攻撃への対策 ) 試験装置と試験手法試験装置と試験手法試験装置と試験手法 7

FIPS 140-3 のスケジュール当初の計画の 2006 年 11 月 FIPS140-3 運用開始から大幅に遅れている 8 2004 年 9 月 15 日 2005 年 1 月 12 日 2005 年 2 月 28 日 2005 年 9 月 26 日 2007 年 3 月 31 日 2007 年 7 月 13 日 2007 年 10 月 11 日 2008 年 3 月 18 日 2008 年第 2 四半期 2008 年第 3 四半期 2008 年第 4 四半期 2008 年第 4 四半期 6ヶ月後 6ヶ月後 CMVP Symposium 2004でFIPS140-3 改定の意向を表明 FIPS140-3への改定作業に入ることを正式発表 FIPS140-2に対するパブリックコメントの募集を開始 Physical Security Testing WorkshopをIPAと共同開催 FIPS140-3 1st Draftの内部レビューがNISTとCSEで終了 1st Draftを公開.90 日間のコメント募集期間を設定コメント募集終了 Software Security Workshopを開催 2nd Draftを公開.90 日間のコメント募集期間を設定コメント募集終了 FIPS140-3の最終版公開米国商務省による承認 FIPS140-3の運用開始 FIPS140-2の運用終了

CRYPTREC 委員会活動 2000 年に経済産業省と総務省が電子政府で使用される暗号評価を目的とし,IPA と NICT の共同プロジェクトとして CRYPTREC (Cryptography Research and Evaluation Committees) が発足 2003 年に暗号モジュール委員会が発足 2006 年に暗号モジュール委員会の下部に電力解析ワーキンググループが発足 CRYPTREC 暗号技術評価委員会 2000~2003 年 2003 年 ~ 暗号技術検討会暗号技術検討会暗号モジュール委員会 2006 年 ~ 電力解析 WG WG 電子政府推奨暗号リストと評価レポートを作成暗号技術監視委員会へ継続 FIPS140-2 の ISO/IEC19790, 24759 標準化への貢献 JCMVP や暗号モジュール評価基準策定への貢献サイドチャネル攻撃の実験活動の効率化 9

サイドチャネル攻撃用標準評価ボード産業技術総合研究所と東北大学は平成 18 年度の経済産業省委託事業の中でサイドチャネル攻撃実験の標準評価用としてボードを開発 PowerPCプロセッサを搭載した2 種類のXilinx 社製 FPGAを実装 FPGA 上で実装評価可能な暗号回路ソースを公開 10 Side-channel Attack Standard Evaluation BOard

JCMVP 認証を取得 SASEBO 上にAES 回路を実装し, 暗号ハードウェアモジュールとして始めてJCMVP 認証を取得 JCVMP 制度普及に向けて, 暗号ハードウェアのソースコードやボード回路図等の技術情報等を全てWeb 公開 11

標準暗号を実装した LSI を開発平成 19 年度に全てのISO/IEC 標準ブロック暗号と RSA 暗号を実装した評価用 LSIおよびボードを開発 128bit 暗号 :AES, Camellia 64bit 暗号 :DES,MISTY1,SEED,CAST128 XILINX 社に加えて ALTERA 社の FPGA を用いたボードも開発標準暗号 LSI ALTERA ボード暗号 LSI ボード 12

プロジェクト概要各研究機関は独自の実験環境を用いているため第三者評価が困難暗号は機密性の高い技術が用いられるため情報の公開が限られる標準評価ボードによる実験を通じて得られた技術とノウハウを暗号製品の設計指針として公開サイドチャネル攻撃を含む新たな試験基準を策定 Katholieke Univ. Leuven ( ) Ruhr Univ. Bochum ( IAIK, Graz Univ. ( ) ) ETRI ( ) Luxembourg Univ. ( Samsung ( ) ) Weizmann Institute ( ) Indian Institute of Techinology ( ) IPA NICT NTT NTT NHK SONY NEC NEC NIST ( ) 13

プロジェクト概要開発したFPGAボード,LSIボード, 暗号回路ライブラリを国内外の研究機関に配布し統一された評価実験環境を構築する NISTとの協力関係を密にし,FIPS 140-3の標準化およびISO/IEC 19790の改定作業に大きく貢献する 14

自動評価ツールの開発 AES と RSA の代表的な攻撃だけでも非常に多くの手法が提案されている第三者機関が公平かつ効率的に評価を行うためには自動化ツールが不可欠 15 AES AESへの実装攻撃 << << Simple Power Power Analysis >> >> --- ---General Topic Topic --- --- R. R. Mayer, et et al., al., Smartly Analyzing the the Simplicity and and the the Power Power of of Simple Power Power Analysis on on Smartcards, CHES CHES 2000. 2000. S. S. Mangard, A A Simple Power-Analysis (SPA) (SPA) Attack Attack on on Implementations of of the the AES AES Key Key Expansion, ICISC ICISC 2002. 2002. G. G. Bertoni, et et al., AES Power Power Attack Attack Based Based on on Induced Cache Cache Miss Miss and and Countermeasure, ITCC ITCC 2005. 2005. --- ---Collision Attack Attack --- --- K. K. Schramm, et et al., A al., ANew Class Class of of Collision Attacks and and its its Application to to DES, DES, FSE FSE 2003. 2003. K. K. Schramm, et et al., A al., ACollision-Attack on on AES AES Combining Side Side Channel and and Differential-Attack, CHES CHES 2004. 2004. H. H. Ledig, Ledig, et et al., al., Enhancing Collision Attacks, CHES CHES 2004. 2004. << << Differential Power Power Analysis >> >> --- ---General Topic Topic --- --- P. P. Kocher, et et al., Introduction to to Differential Power Power Analysis and and Related Attacks, http://www.cryptography.com/dpa/technical/index. P. P. Kocher, et et al., Diffrential Power Power Analysis, Crypto 99 99 T. T. S. S. Messerges, et et al., Investigations of of Power Power Analysis Attacks on on Smartcards USENIX Workshop on on Smartcard Technology 1999. 1999. J. J. S. S. Coron, et et al., Statistics and and Secret Secret Leakage, FC FC 2000. 2000. M. M. L. L. Akker, Akker, et et al., Power Analysis, What What is is Now Now Possible, Asiacrypt 2000. 2000. R. R. Bevan, et et al., Ways to to Enhance Differential Power Power Analysis, ICISC ICISC 2002. 2002. D. D. Agrawal, et et al., Multi-Channel Attacks, CHES CHES 2003. 2003. E. E. Brier, Brier, et et al., Correlation Power Power Analysis with with a Leakage Model, CHES CHES 2004. 2004. T. T. -H. -H. Le, Le, et et al., A al., Aproposition for for Correlation Power Power Analysis enhancement, CHES CHES 2006. 2006. J. J. Jaffe, A First-Order DPA DPA Attack Attack against AES AES in in Counter Mode Mode with with Unknown Initial Initial Counter, CHES CHES 2007. 2007. --- ---Electromagnetic Analysis --- --- J. J. -J. -J. Quisquater, et et al., ElectroMagnetic Analysis (EMA): Measures and and Countermeasures for for Smart Smart Cards, E-smart 2001. 2001. K. K. Grandolfi, et et al., Electromagnetic Analysis: Concrete Results, CHES CHES 2001. 2001. S. S. Agrawal, et et al., The EM EM Side Side Channel(s), CHES CHES 2002. 2002. H. H. Li, Li, T. T. Markettos, et et al., Security Evaluation against Electromagnetic Analysis at at Design Time, Time, CHES CHES 2005. 2005. --- ---Second Order Order --- --- T. T. S. S. Messarges, Using Second-Order Power Power Analysis to to Attack Attack DPA DPA Resistant Software, CHES CHES 2000. 2000. J. J. Dj. Dj. Golic, Golic, et et al., Multiplicative Masking and and Power Power Analysis of of AES, AES, CHES CHES 2002. 2002. I. I. Waddle, et et al., Towards Efficient Second-Order Power Power Analysis, CHES CHES 2004. 2004. M. M. Joye, Joye, et et al., On Second-Order Differential Power Power Analysis, CHES CHES 2005. 2005. D. D. Suzuki, et et al., DPA Leakage Models for for CMOS CMOS Logic Logic Circuits, CHES CHES 2005. 2005. S. S. Mangard, et et al., Side-Channel Leakage of of Masked CMOS CMOS Gates, CT-RSA 2005. 2005. S. S. Mangard, et et al., Successfully Attacking Masked AES AES Hardware Implementations, CHES CHES 2005. 2005. E. E. Oswald, et et al., Practical Second-Order DPA DPA Attacks for for Masked Smart Smart Card Card Implementations of of Block Block Ciphers, CT-RSA 2006. 2006. S. S. Mangard, et et al., Pinpointing the the Side-Channel Leakage of of Masked AES AES Hardware Implementations, CHES CHES 2006. 2006. --- ---Higher Order Order --- --- S. S. Chari, Chari, C. C. Jutla, Jutla, J. J. Rao, Rao, and and P. P. Rohatgi, Towards Sound Sound Approaches to to Counteract Power-Analysis Attacks, Crypto 99. 99. K. K. Schramm and and C. C. Paar, Paar, Higher Order Order Masking of of the the AES, AES, CT-RSA 2006. 2006. J. J. Coron, E. E. Prouff, and and M. M. Rivain, Side Side Channel Cryptanalysis of of a Higher Higher Order Order Masking Scheme, CHES CHES 2007. 2007. << << Template Attack Attack >> >> E. E. Biham, et et al., Power Analysis of of the the Key Key Scheduling of of the the AES AES Candidates, The The Second Advanced Encryption Standard Candidate Conference. P. P. N. N. Fahn, Fahn, IPA: IPA: A New New Class Class of of Power Power Attacks, CHES CHES 1999. 1999. S. S. Chari, Chari, et et al., Template Attacks, CHES CHES 2002. 2002. C. C. Rechberger, et et al., Practical Template Attacks, WISA WISA 2004. 2004. D. D. Agrawal, et et al., Templates as as Master Keys, CHES CHES 2005. 2005. E. E. Peeters, et et al., Improved Higher-Order Side-Channel Attacks with with FPGA FPGA Experiments, CHES CHES 2005. 2005. W. W. Schindler, et et al., A al., AStochastic Model Model for for Differential Side Side Channel Cryptanalysis, CHES CHES 2005. 2005. C. C. Archambeau, et et al., Template Attacks in in Principal Subspaces, CHES CHES 2006. 2006. B. B. Gierlichs, et et al., Templates vs. vs. Stochastic Methods, CHES CHES 2006. 2006. E. E. Oswald, et et al., Template Attacks on on Masking Resistance is is Futile, CT-RSA 2007. 2007. K. K. Lemke-Rust, et et al., Gaussian Mixture Models for for Higher-Order Side Side Channel Analysis, CHES CHES 2007. 2007. << << Experiments >> >> C. C. Clavier, et et al., Differential Power Power Analysis in in the the Presence of of Hardware Countermeasure, CHES CHES 2000. 2000. F. F. -X. -X. Stadaert, et et al., Power Analysis of of an an FPGA FPGA Implementation of of Rijndael: Is Is Pipelining a DPA DPA Countermeasure?, CHES CHES 2004. 2004. C. C. Gebotys, et et al., M al., MAnalysis of of Rijndael and and ECC ECC on on a Wireless Java-based PDA, PDA, CHES CHES 2005. 2005. S. S. B. B. Őrs, Őrs, et et al., Power-analysis attack attack on on an an ASIC ASIC AES AES implementation, ITCC ITCC 2004. 2004. << << Enhancing Method >> >> N. N. Homma, et et al., High-Resolution Side-Channel Attack Attack Using Using Phase-Based Waveform Matching, CHES CHES 2006. 2006. S. S. Skorobogatov, Optically Enhanced Position-Locked Power Power Analysis, CHES CHES 2006. 2006. RSA RSAへの実装攻撃 << << Timing Attack Attack >> >> P. P. Kocher, Timing Attacks on on Implementations of of Diffie-Hellman, RSA, RSA, DSS, DSS, and and Other Other Systems, Crypto 96. 96. W. W. Schindler, A A Timing Attack Attack against RSA RSA with with the the Chinese Remainder Theorem, CHES CHES 2000. 2000. C. C. D. D. Walter, et et al., Distinguishing Exponent Digits Digits by by Observing Modular Subtractions, CT-RSA 2001. 2001. W. W. Schindler, Combined Timing and and Power Power Attack, PKC PKC 2002. 2002. << << Simple Power Power Analysis >> >> P. P. Kocher, et et al., Introduction to to Differential Power Power Analysis and and Related Attacks, http://www.cryptography.com/dpa/technical/index. C. C. D. D. Walter, Sliding Windows Succumbs to to Big Big Mac Mac Attack, CHES CHES 2001. 2001. R. R. Novak, SPA-based Adaptive Chosen-ciphertext Attack Attack on on RSA RSA Implementation, PKC PKC 2002. 2002. V. V. Klima, Klima, et et al., Further Results and and Considerations on on Side Side Channel Attacks on on RSA, RSA, CHES CHES 2002. 2002. P. P. A. A. Fouque, et et al., Attacking Unbalanced RSA-CRT Using Using SPA, SPA, CHES CHES 2003. 2003. P. P. A. A. Fouque, et et al., The Doubling Attack Attack Why Why Upwards Is Is Better Better Than Than Downwards, CHES CHES 2003. 2003. S. S. M. M. Yen, Yen, et et al., Power Analysis by by Exploiting Chosen Message and and Internal Collisions Vulnerability of of Checking Mechanism for for RSA-Decryption, Mycrypt 2005. 2005. P. P. A. A. Fouque, et et al., Power Attack Attack on on Small Small RSA RSA Public Public Exponent, CHES CHES 2006. 2006. <<Differential Power Power Analysis>> P. P. Kocher, et et al., Differential Power Power Analysis, Crypto 99. 99. T. T. S. S. Messerges,et al., Power Analysis Attacks of of Modular Exponentiation in in Smartcards, CHES CHES 1999. 1999. J. J. S. S. Coron, Resistance against differential power power analysis for for elliptic elliptic curve curve cryptosystems, CHES CHES 1999. 1999. B. B. D. D. Boer,et al., A al., ADPA Attack Attack against the the Modular Reduction within within a CRT CRT Implementation of of RSA, RSA, CHES CHES 2002. 2002. F. F. Amiel,et al., Power Analysis for for Secret Secret Recovering and and Reverse Engineering of of Public Public Key Key Algorithms, SAC SAC 2007. 2007.

自動評価ツールの開発 LabVIEW+MATLAB で SASEBO に実装した AES を自動解析するプロトタイプを作成拡張性と速度性能の向上を目指して C 言語ベースにより開発中 16

AES への電力解析攻撃ブロック暗号 AESの10ラウンド処理がFPGAとASICの双方で目視可能だが, 秘密鍵の導出には数千 ~ 数万波形の統計処理する必要があり, 実装法によって有効な解析手法が異なるデータ撹拌部 128 平文 8 8 8 AddRoundKey ラウンド鍵鍵スケジュール部 32 128 32 32 秘密鍵 32 FPGA SubBytes ShiftRows MixColumns AddRoundKey <<8 S-Box Rcon[1] 17 ASIC SubBytes ShiftRows MixColumns AddRoundKey SubBytes ShiftRows AddRoundKey 8 8 8 128 暗号文 <<8 S-Box <<8 S-Box Rcon[9] Rcon[10]

RSA 暗号回路の電力解析攻撃秘密鍵 dのビットパターンに応じて乗算と自乗算を繰り返すrsa 暗号では, 実装によっては秘密鍵を電力波形から直接読み取ることが可能特殊な入力データや波形処理を行う手法を開発 M=C d mod n 18

19 2007 年研究開発スケジュール