発表内容 耐タンパ LSI 設計プラットフォーム ( 立命大藤野 ) 暗号処理 LSI の背景説明と耐タンパディペンダビリティー DPA 攻撃の原理と対策回路 (Domino-RSL 方式 ) 耐タンパ性能評価プラットフォーム ( 産総研佐藤 ) 暗号モジュールの安全性評価制度 攻撃評価ボード SA

平成 21 年 10 月 14 日領域会議資料 耐タンパディペンダブル VLSI シ ステムの開発 評価 ~ 人為的攻撃による内部機密情報の漏洩 複製を防止する VLSI の実現 ~ 立命館大藤野毅 福井正博 福水洋平 Ahn Tuan Hoang 産総研佐藤証 片下敏弘中央大堀洋平 今井秀樹名城大吉川雅弥

発表内容 耐タンパ LSI 設計プラットフォーム ( 立命大藤野 ) 暗号処理 LSI の背景説明と耐タンパディペンダビリティー DPA 攻撃の原理と対策回路 (Domino-RSL 方式 ) 耐タンパ性能評価プラットフォーム ( 産総研佐藤 ) 暗号モジュールの安全性評価制度 攻撃評価ボード SASEBO プロジェクト 偽造 LSI を識別する PUF を用いたセキュリティシステム 全体計画と総括ご質問回答 -2-

-3-0. 背景 (DVLSI( のHP より ) セキュリティー LSI への人為的攻撃への対応大規模集積システムに搭載されている機密情報や個人情報の抜き取りなど意図的な攻撃によるディペンダビリティへの脅威が増大している. 将来 電子マネーや電子カルテ等の利用が進展し 攻撃に対する対策のない大規模集積回路により大規模集積システムに内蔵される銀行口座やプライバシーに関する情報が漏洩し 社会的な混乱を引き起こす可能性がある. この問題への対策として, 情報の防御システムをチップ上で構成する研究や, 時間限定で情報が自動的に消去される研究などが必要とされている 機密情報保護の観点でディペンダブルな大規模集積システムすなわち耐タンパVLSIが必要である.

0. 暗号モジュールの用途 IC カード RFID 電子パスポート 暗号ネットワーク通信 音楽 映像メディアのコンテンツ保護ビジネス文書 FPGA の設計情報の保護 (%) 0.3 フランスのキャッシュカード被害率 0.25 www.wi-fi.org 0.2 0.15 0.1 0.05 0-4- 1987 1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 フランス銀行カード協会調べ http://www.apple.com/ipod/

0. 暗号処理回路とサイドチャネル情報 暗号鍵が機密情報を守る標準暗号 3DES,AES 暗号アルゴリズムは公開 多くの研究者によって数学的な安全性は保証暗号回路動作時のサイドチャネル情報 サイドチャネル情報 = 処理時間. 消費電力, 電磁波 サイドチャネル情報から暗号鍵を推定 暗号データ ( 安全 ) サイドチャネル情報 ( 危険!) 平文暗号文 -5- 処理時間 電流 電圧 電磁波

0. 耐タンパディペンダブル LSI の要件 下記のような物理攻撃 複製技術に対して耐性のあるセキュリティー LSI フォールト攻撃 周波数操作電圧操作ノイズ印加 セキュリティー LSI 侵襲攻撃 パッケージ開封光 電磁波放射線照射 不正入力 非正規データ出力 非正規データ出力 正規データ入出力 漏洩情報 回路パターン解析配線プローブ 処理時間 電流 電圧 電磁波 クローン複製技術 -6- サイドチャネル攻撃

-7- 本研究の目標 3 種の物理攻撃と偽造 LSIの製造に対する防御方法を備えた, 耐タンパLSIを実現し以下 3つの成果物を得る. (1) 耐タンパ性 LSI 設計プラットフォーム 物理攻撃に対する, 耐タンパ性を有する LSI の設計指針 LSI を容易かつ低コストで設計 製造するための設計プラットフォームを提供. (2) 耐タンパ性能評価プラットフォーム セキュリティ LSI の耐タンパ性能を評価する指針 攻撃実験用の LSI ボードを開発し, 評価試験環境を構築 (3) 偽造 LSI を識別する PUF を用いたセキュリティシステム LSI に固有の物理特性の差異を識別する PUF(Physically Unclonable Function) の回路設計 開発 PUF と暗号技術を融合した新しいセキュリティシステムの提案.

1. 電力利用サイドチャネル攻撃の原理 単純な2 入力 ANDゲートの場合 A1 A2,B1 B2, の遷移は2 4 =16 通り A 1 B 1 A 2 B 2 F 1 F 2 0 0 0 0 0 0 0 0 0 1 0 0 注目ビット A B F 0 0 1 0 0 0 0 0 1 1 0 1 遷 0 1 0 0 0 0-8- A 1 =0 のときの遷移確率 2/8 1/4 回電力増加 消費電力に差が出る A 1 =1 のときの遷移確率 4/8 1/2 回電力増加 注目ビットの値を推定し, 注目ビットが 1 の場合と 0 の場合の消費電力に差が生じれば推定値は正しい 0 1 0 1 0 0 0 1 1 0 0 0 0 1 1 1 0 1 遷 1 0 0 0 0 0 1 0 0 1 0 0 1 0 1 0 0 0 1 0 1 1 0 1 遷 1 1 0 0 1 0 遷 1 1 0 1 1 0 遷 1 1 1 0 1 0 遷 1 1 1 1 1 1

1. 電力利用サイドチャネル攻撃 (DPA( DPA) 1999 年に Kocher らによって提案された電力差分解析 (DPA) 攻撃により, 未対策回路では, 実際に共通鍵暗号回路の鍵は容易に窃取可能 Input 01001101001 0110101011 11101100 振り分け平文 数千 ~ 数万パターン グループ "0" 両グループの平均の差分を導出 Output 消費電力波形測定 グループ "1" 01001101001 0110101011 11101100 暗号文内部の鍵情報を推測 -9- = 特定の内部ノードの値 0? 1? or 遷移する? しない? を推測 ピークが出た!! ( 推測した鍵が正しい )

1. サイドチャネル攻撃 (DPA( DPA) ) 手法 攻撃ターゲットボード, オシロスコープ,PCで攻撃可能 FPGAボード (SASEBO-GII) 上の暗号回路をオシロスコープを使用してリアルタイムDPA 解析するデモをご覧いただきます. -10-

1. 電力利用サイドチャネル攻撃の原理 再掲 単純な2 入力 ANDゲートの場合 A1 A2,B1 B2, の遷移は2 4 =16 通り A 1 B 1 A 2 B 2 F 1 F 2 0 0 0 0 0 0 0 0 0 1 0 0 注目ビット A B F 0 0 1 0 0 0 0 0 1 1 0 1 遷 0 1 0 0 0 0-11- A 1 =0 のときの遷移確率 2/8 1/4 回電力増加 消費電力に差が出る A 1 =1 のときの遷移確率 4/8 1/2 回電力増加 注目ビットの値を推定し, 注目ビットが 1 の場合と 0 の場合の消費電力に差が生じれば推定値は正しい 0 1 0 1 0 0 0 1 1 0 0 0 0 1 1 1 0 1 遷 1 0 0 0 0 0 1 0 0 1 0 0 1 0 1 0 0 0 1 0 1 1 0 1 遷 1 1 0 0 1 0 遷 1 1 0 1 1 0 遷 1 1 1 0 1 0 遷 1 1 1 1 1 1

-12-1.. 消費電力が入力演算データ値に依存しない論理ゲート :2 線式ロジック AND 回路の横にダミーの OR ゲートを配置 LSI ゲート出力の遷移確率 50% A B 問題点 F F(dum) 遷移確率一定 ( 右図 ) 遷移確率は一定になったが F と F(dum) の負荷容量を一定にしないと消費電力が一定にならない LSI 実装時の大きな制約 AND OR A 1 B 1 A 2 B 2 F 1 F 2 F 1 F 2 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 1 0 0 1 0 0 0 0 1 0 0 1 1 0 1 0 1 0 1 0 0 0 0 1 0 0 1 0 1 0 0 1 1 0 1 1 0 0 0 1 1 0 1 1 1 0 1 1 1 1 0 0 0 0 0 1 0 1 0 0 1 0 0 1 1 1 0 1 0 0 0 1 1 1 0 1 1 0 1 1 0 1 1 0 0 1 0 1 1 1 1 0 1 1 0 1 1 1 1 1 0 1 0 1 1 1 1 1 1 1 1 1 1

1. Domino-RSL( RSL(Random Switching Logic) 方式 乱数 r で AND/OR が切り替わる RSL 方式ゲートどんな入力に対しても消費電力が均一になる clk x x y z r=0 y r=0 clk r r=1 r=1 消費電力一定 -13- Domino-RSL AND/OR ゲート *DPA 耐性の確認されている三菱電機考案 RSL ゲートと原理は同じ. 非同期 enable 信号が不要で, ゲート面積が小さい特長がある.

1.Domino-RSL による回路実装 組み合わせ論理回路をDomino-RSL 回路で構成し その前後でマスク / アンマスク処理を実施することで正常演算可能 r -14- x = a r y = b r 正論理負論理 z = f ( x, y, r) Domino-RSL AND/OR ゲート A B = A + B = C C z AND 演算 OR 演算 c = z r 乱数 マスク処理前 演算処理 アンマスク処理後 r a b x y Z c 0 1 0 0 0 0 0 0 0 1 0 1 0 0 1 0 1 0 0 0 1 1 1 1 1 1 0 0 1 1 1 0 0 1 1 0 1 0 1 0 0 1 1 0 1 1 0 0 0 1 同じ

1.. 消費電力サイドチャネル攻撃耐性目標 Domino-RSLゲート使用暗号回路では約 100 万波形収集をおこなっても暗号鍵特定不可能を確認する x clk y r(r) clk x y 乱数 IP 平文 r 0 r 0 z Domino-RSL AND/OR ゲート -15- MUX DFF(L) r 1 P-Box CLK r 0 S-Box AND Domino RSL F 関数処理暗号文 key Expansion MUX DFF(R) r 0 r 1 正解鍵特定バイト数 8 未対策回路 DPA 対策回路 10 4 10 5 10 6 波形取得数

1. Domino-RSL を用いた LSI 設計環境 Domino-RSL 方式をストラクチャードASIC 化 HDL 記述からレイアウト合成までの自動設計ツール -16-

1.DPA 対策回路 ( 他の提案 ) ランダムマスク型 演算データが常に乱数マスクされる ゲート規模が非常に増大する ハザードに伴う DPA リークが指摘されている 2 線相補型 (WDDL) 配線寄生容量の均一化が困難 寄生容量均一化 x y = a = b r x r y r x r y z = a b r z A A A A A B A B A B F F F A A A A r z A B F -17- ランダムマスク型 (Trichina@2003) WDDL(Tiri@2004)

2. プロジェクト概要 サイドチャネル攻撃評価ボードと暗号回路を開発し標準評価実験環境を構築 NISTとの協力関係を密にし,FIPS 140-3 標準化 ISO/IEC 19790 改定に貢献 情報機器の安全性向上 NICT CRYPTREC 暗号実装委員会 JCMVP (Japan Cryptographic Module Validation Program) IPA 評価 認証 技術提供 ノウハウ公開 標準評価試験環境の構築 LSI 東北大学 横浜国立大学 共同研究 研究員派遣 執筆 配布 実験レポート論文 コメント 国際規格策定への貢献 評価指針 Draft 米国連邦標準技術研究所 NIST FIPS 140-3 ISO/IEC 化 ISO/IEC 19790 ISO/IEC 24759 国内外の研究機関 18 評価技術研究開発

2.FIPS 140-2 (ISO/IEC 19790) 19 米国連邦標準 FIPS140-2 暗号モジュールのセキュリティ要件 をベースに標準化されたISO/IEC 19790の国内評価制度 JCMVPが始まっている 11のカテゴリ毎 ( ISO/IEC 19790ではカテゴリ8は削除 ) に定められたセキュリティ要件に対して1~4のレベル評価が行われる 最新の研究であるサイドチャネル攻撃などを取り入れたFIPS140-3への改定作業も進んでいる 認証を受けたモジュール数 160 140 120 100 80 60 40 20 0 1995 1996 Level 4 Level 3 Level 2 Level 1 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 1 2 3 4 5 6 7 8 9 10 11 セキュリティ要件 暗号モジュール仕様 暗号モジュールのポート インタフェース 役割, サービス, 及び認証 有限状態モデル 物理セキュリティ 動作環境暗号鍵管理電磁妨害 / 電磁両立性 (EMI/EMC) 自己テスト 設計保証 その他の攻撃の対処 規定内容 暗号モジュールの仕様と FIPS 140-2 の適用範囲 情報の入出力 ユーザーの役割や役割ごとに提供されるサービス, ユーザーの認証方法状態遷移の記載表面処理やカバー等の物理的セキュリティ要件暗号モジュールの動作環境鍵生成, 鍵の入出力等 電磁波に対する要件 暗号モジュールの正しい動作を確認するテストガイドライン等 FIPS 140-2 で規定されていない攻撃への対処方法

2.CRYPTREC 委員会活動 2000 年に経済産業省と総務省が電子政府で使用される暗号評価を目的とし CRYPTREC (Cryptography Research and Evaluation Committees) を発足 CRYPTREC 暗号技術評価委員会 00~03 年 03 年 ~08 年 09 年 ~ 暗号技術検討会暗号技術検討会 暗号モジュール委員会 暗号実装委員会 電子政府推奨暗号リストと評価レポートを作成暗号技術監視委員会へ継続 FIPS140-2 の ISO/IEC19790, 24759 標準化への貢献 JCMVP や暗号モジュール評価基準策定への貢献暗号モジュール評価標準プラットフォームを用いた実験 FIPS および ISO/IEC におけるサイドチャネル攻撃の評価指針策定への貢献電子政府推奨暗号リスト改定におけるハードウェア性能評価とサイドチャネル攻撃評価の検討 20

2.IT セキュリティ評価及び認証制度 ISO/IEC15408 ISO/IEC 15408 (CC: Common Criteria) は IT セキュリティ製品のセキュリティ要件とその評価手法を定めた国際標準 第三者機関による評価を元に公的機関 ( 日本では IPA) が認証書を発行 認証国 (13 ヶ国 ) で評価 認証された IT 製品 システムは 他の認証国 受入国 (12 ヶ国 ) でも認証の効力を持つ EAL1~7 はベンダーが策定した Security Target における機能の信頼度を表す IC カード評価は CC 認証取得が必須. 米国内での利用は CMVP 認証も求められる 認証国 受入国 21 IPA ISO/IEC 15408 のセキュリティ評価 認証 より

2. サイドチャネル攻撃標準評価ボード SASEBO 4 種類のボードを開発 SASEBO:Xilinx FPGA (18 年度 ) Xilinx FPGA SASEBO-B:ALTERA FPGA (19 年度 ) SASEBO-R: 暗号 LSI (19 年度 ) SASEBO-G:Xilinx FPGA (20 年度 ) SASEBOにAESを実装したSASEBO-AES は暗号ハードウェアモジュールとして初の JCMVP (Japan Cryptographic Hardware Module Validation Program) 認証を取得 Side-channel Attack Standard Evaluation SASEBO BOard ALTERA FPGA 暗号 LSI Xilinx FPGA 22 SASEBO-B SASEBO-R SASEBO-G

2. 標準暗号 LSI 平成 19 年度に全てのISO/IEC 標準ブロック暗号とRSA 暗号を実装した130nm CMOSによる評価用 LSIを開発 128bit 暗号 :AES, Camellia 64bit 暗号 :DES,MISTY1,SEED, CAST128 平成 20 年度は各種 DPA 対策を施したAES 回路 ( 横浜国立大学提供 ) や楕円曲線暗号 ( 電気通信大学提供 ) を実装した130nmと90nmの2 種類のLSIを開発 23 標準暗号 LSI (130nm) DPA 対策版 LSI (130nm) DPA 対策版 LSI (90nm)

2.SASEBO-GII 小型 高性能ボード SASEBO-GII を用いた研究とビジネス SASEBO-G の FPGA Virtex-II のロジック容量では,DPA 対策を施した回路に対して不足 SASEBO を利用したいというリクエストが多く寄せられるが, 実績のある研究機関にのみ配布 最新の Virtex-5 LX30/50 を用い, これまでの実験 研究で得たノウハウを集約した SASEBO-GII を開発し, 東京エレクトロンデバイスから商用として 11 月に販売 24 ロジック容量は4~7 倍 ボードサイズが1/3 電源 クロック系のノイズ低減 USB 経由で4 種類のコンフィグレーションモードをサポート SASEBO-GII 140 mm 120 mm SASEBO 250 mm 200 mm

2. 広まる SASEBO の利用 暗号実装の研究で実績のある国内外約 60 機関に SASEBO を配布 英文誌 国際会議 25 件, 和文紙 国内研究会 50 件の関連発表 暗号ハードウェアに関する最も権威のある国際会議 CHES を 2011 年に東京に招致 CHES のスペシャルセッション DPA コンテストで SASEBO-GII を標準ボードとして利用予定 経産省の 高度大規模半導体集積回路セキュリティ評価技術開発 の IC チップセキュリティ評価で利用 総務省と経産省の 電子政府推奨暗号リスト の改定作業で利用予定 ( 平成 21 年 3 月現在 ) http://www.iacr.org/workshops/ches/ 25

2. 測定環境 解析ツールの開発 試験機関で統一された安全性評価を行うために, 測定環境の統一化を図り, 様々な評価 ( 攻撃 ) 手法をガイドラインとして定めるとともに, それを実装した自動評価ツールのプロトタイプを開発 同じツールを用いても, 解析結果は測定環境や試験者のスキルに大きく依存するので,SASEBO に暗号回路を実装し, それを解析するテストにより試験機関のレベルをそろえる 試験環境ツールのサポート体制の強化のため, 国内外のボードメーカーやICカード評価ツールメーカーと協力 26

3.PUF (Physically hysically Unclonable Function) ) とは? 人工物メトリックスによる真贋判定 : 人の指紋のように紙の模様 磁気体の磁力ムラなど人工物の偶然にできるパターンを活用 LSI においてもトランジスタや配線の製造時のばらつきを利用し, ハードウェアの個体を判別する技術 PUF(Physically Unclonable Function ) の研究が開始. LSI のパターンが丸ごと不正にコピーされても, 本物と偽物の区別が可能であることから IC カードの偽造対策等に有望. セレクタチェインによる信号遅延を利用した PUF 回路 -27- ( 引用 )M.Majzoobi et. al. : International Test Conference 08, Paper31.3

3. PUF デバイス回路設計と特性評価の定式化 様々な TEG について各種物理的特性を測定し, 熱の影響や経時変化を考慮した特性ばらつきにモデル化 定式化を行う ( シミュレーションと TEG 試作 ) セレクタチェインをベースとするフィードフォワードループ追加等様々な回路を実装し, 物理特性パラメータの測定 評価を行う (FPGA 検証 ) -28- 熱特性

3.PUF と暗号技術を融合した偽造防止システム IC カード等の実システムにおいて PUF を利用するため, 暗号技術と融合した利用方式の提案と評価を行う PUF リーダ PUF リーダ 特性抽出 特性抽出 利用可 -29- カード製造またはイニシャライズ時 電子署名 IC カード内秘密鍵 IC カード 公開鍵 署名検証 一致比較不一致利用不可カード利用時

4. 研究役割分担体制 専門分野 耐タンパ性 LSI 設計フ ラットフォーム 耐タンパ性性能評価フ ラットフォーム PUF テ ハ イス使用セキュリティスシテム 立命大 プログラマブル LSI 設計と回路設計 耐タンパプログラマブル LSI マクロ設計 サイト チャネル攻撃実験評価 PUF デバイスの回路実装 産総研 LSI 論理設計と各種攻撃評価システム 各種評価ボード設計と評価 PUF テ ハ イス設計と PUF 利用セキュリティーシステム構築 中央大 暗号アルゴリズムと LSI 論理設計 フォールト攻撃対策検討 サイト チャネル攻撃 / フォールト攻撃実験評価 名城大 プログラマブル LSI 設計 CAD 構築 耐タンパ LSI マクロ設計 CAD 構築 -30-

4. 耐タンパディペンダブル VLSI システムの開発 評価の開発 評価全体計画概要 H21 H22 H23 H24 H25 H26 耐タンパ性設計プラットフォームの研究 180nm VPRSL 回路 180nm 輻射電磁波 DPA DEMA 評価 CAD CAD システム ( プロトタイプ ) CAD 180nm フォールト対策評価 CAD システム ( 改良版 ) 130nm 65nm 65nm 耐タンパ対策評価 LSI 耐タンパ性能評価プラットフォームの研究 偽造 LSIを識別するPUFを用いたセキュリティーシステムの研究 -31- 耐タンパ性評価ボード改造 180nm PUF 基礎実験 フォールト 侵襲評価 TEG フォールト 侵襲攻撃環境構築 180nm PUF 実証実験 耐タンパ性評価改良ボード マッチンク 評価 PUF システム構築

4.H21 年度の計画概要 (1) 耐タンパ性 LSI 設計プラットフォーム 擬似 Domino-RSL 回路を用いたDES 暗号回路のFPGA 実装と耐タンパ性評価 Domino-RSL 回路を使ったSimplified-DES 回路チップ試作 プログラマブルLSIを指向した配線アークテクチャの開発 評価 (2) 耐タンパ性能評価プラットフォーム フォールトおよび侵襲 ( 破壊 ) 攻撃を行うための暗号 LSIの設計 ( イーシャトル65nm) フォールトおよび電磁波攻撃試験環境の構築 (3) 偽造 LSIを識別するPUFを用いたセキュリティシステム FPGAボードを用いたセレクタチェイン型 PUFの検討 セレクタチェイン型 PUFの回路設計とSPICEシミュレーションによる検討 -32-