早稲田大学大学院情報生産システム研究科
博士論文審査結果報告書
論 文 題 目
ALGORITHM AND HARDWARE DESIGN OF ENCRYPTION SCHEME FOR H.264/AVC
申 請 者
Fan, Yibo
情報生産システム工学専攻 マルチメディアシステム研究
2 0 09 年 2 月
- i -
H.264(MPEG-4 part10 Advanced Video Coding(AVC)とも呼ばれる)は、従来の動画圧縮技術と比 較してより効率的な圧縮効率を実現する技術として、2003年にITUとISOより勧告された最新の動画圧縮 規格である。現在、コンテンツ保護などを目的とした動画用暗号スキームが標準化のために提案されて いる。しかし、その多くはMPEG-1やMPEG-2/H.262、 MPEG-4、H.263といった従来の動画圧縮規格用途 向けであり、H.264/AVC向け暗号スキームはまだ研究例が少ない。本論文では、H.264/AVC向けの新たな 動画像暗号スキームを提案し、提案手法を実現する暗号モジュールのハードウェア回路も同時に提案し ている。この論文は以下の3つに貢献している。1)提案する暗号スキームは、より高いセキュリティとよ り低い計算コストを実現している。2)提案する暗号モジュール向けのスケーラブルハードウェアアーキテ クチャは高いスケーラビリティを持っている。そのため、H.264/AVCに限らず他の動画圧縮規格に応用す ることができる。3)提案する暗号モジュールは差分電力解析攻撃(DPA)対策を講じており、5種類のDPA を防止することができる。
本論文は以下の7つの部分で構成されている。
第1章は序論であり、動画像符号化システムの基本概念と動画用暗号処理とそのアルゴリズムについて 紹介している。またH.264や、選択的なビデオ暗号化方法、暗号スキームに使用する共通鍵暗号AESなど について紹介している。
第2章では、従来の動画像暗号スキームについて説明している。従来手法の基本的な考え方は選択的な 暗号アルゴリズムに基づいており、動画データの一部分を暗号化して、他のデータは暗号化しない方法 をとっている。暗号化するデータを限定することで暗号処理にかかる時間を大幅に削減することができ る一方、セキュリティの強度が落ちてしまうことが指摘されている。本章では、選択的な暗号アルゴリ ズムの持つ3つの主要な問題(暗号強度、計算複雑度、応用問題)について説明している。
第3章では、H.264/AVC向けの不均一セキュリティ暗号化(USE)スキームについて提案している。こ のスキームは、従来の選択的な暗号アルゴリズムよりも高いセキュリティレベルを維持すると同時に、
計算コストを削減することができる。USEは、重要度の高いデータを安全性の高い暗号アルゴリズムで暗 号化し、一方で、重要度の低いデータを安全性が低い暗号アルゴリズムで暗号化する。すべてのデータ を暗号化できるため、従来手法よりもセキュリティレベルを高めることができる。USEスキームは以下に 示す方法で行っている。
1)データの分類:3つのデータ分類方法を提案している。
2)安全レベルの定義:提案手法は要求する安全性と計算量のバランスによって決まる4つの安全レ ベルを定義している。
3)多重モード暗号化モジュール:提案する暗号化モジュールは2種類の暗号化アルゴリズム(AES
- ii -
アルゴリズム、FLEXアルゴリズム)を使用している。AESはブロック暗号であり安全性が高い暗号アル ゴリズムであり、重要度の高いデータを暗号化できる。FLEXはストリーム暗号であり、高速に暗号化で きるアルゴリズムであり、重要度の低いデータを暗号化に使用する。
本論文で提案した方法は最低の安全レベルが0では、全文を暗号化する場合に比べ計算量はわずか18% で済む。安全レベルが3の計算量は全文を暗号化する場合の計算量の50%となる。従来の選択的な動画像 暗号化アルゴリズムと比較し、提案手法は全文を暗号化して安全性を高める一方で、計算量を大幅に削 減することができ、かつAESとFLEXとでハードウェアを共通化できることを示した点において新規性と 有効性の面で高く評価できる。
第4章は、スケーラブルなAESハードウェアアーキテクチャを提案している。動画圧縮規格の種類によ って、ハードウェアの性能要求が異なるため、暗号ハードウェアのスケーラビリティを考慮したアーキ テクチャを開発する必要がある。提案するAESハードウェアアーキテクチャは、並列なデータパス回路を 使用することでコンフィギュラブルハードウェアモジュールとして実現している。実験結果によると、
サブスティテューションボックス(S-boxモジュール)を1個、ミックスカラムオペレーション(MixColumn モジュール)を1個使用した場合、暗号処理のスループットは75Mbpsであるが、S-boxモジュール20個 とMixColumnモジュールを4個使用した場合、暗号処理のスループットは2.4Gbpsに達した。従来のAESハ ードウェアアーキテクチャと比較し、提案手法によるスケーラブルなAESアーキテクチャは多種多様な AESハードウェアを設計でき、動画像暗号化システムに応用することができる点において、学術的にも実 用的にも高く評価できる。
第5章は、AESに対する強力なサイドチャンネル攻撃である差分電力解析攻撃(DPA)について提案し ている。DPAは1998年、Paul Kockerらによって提案された、暗号デバイスの消費電力を解析して暗号デ バイス中の秘密鍵を盗み出す攻撃手法であり、ハードウェアに関する専門知識がなくても攻撃すること ができ、しかもその成功率は高いとされている。DPAはAES以外にも多数の暗号デバイスを攻撃すること ができるため、現在の暗号システムの安全性に対する大きな脅威となっている。本章では、AESに対する DPAについて紹介し、DPA対策の重要性について説明している。
第6章では、サイドチャネル攻撃で一般に使用されている差分電力解析攻撃(DPA)の防御方法につい て提案している。本章ではAES暗号に対して、独立 ARK(Add Round Key)法、 DS(Data Sliding)法、
SH(Subbyte Hiding)法、 SSM(Simplified S-Box Masking)法とRM(Registers Masking)法の5つの対策方法につ いて提案している。これら5つの対策手法を使用すれば、AESハードウェアに対するDPAの計算複雑度は 212N倍(Nは電力測定の回数)となり、通常Nは3000回以上を設定していることから、DPA対策として極 めて有効な手法となる。更に提案する5つの対策方法を実装したAESハードウェアを4つの回路として設
- iii -
計し、LSIとして実装し評価を行った。①AES 0: DPA対策を施していないAESハードウェア:スルー プットは51Mbps、面積は4678ゲート、クロック周波数は80MHzである。②AES 1.0: DPA対策として独 立ARK法とDS法を使用したAESハードウェア:スループットは75Mbps、面積は5500ゲート、クロック周 波数は125MHzである。③AES 1.1: DPA対策としてSH法を使用したAESハードウェア。スループットと クロック周波数はAES 1.0と同じ75Mbps、125MHz、面積は6244ゲートである。④AES 1.2: DPA対策と してSSBM法とRM法を使用したAESハードウェア。スループットは45Mbps、面積は6834ゲート、クロッ ク周波数は75Mhzである。また、提案手法によるDPA対策の有効性を検証するため、本論文では日本の暗 号評価用標準FPGAボードであるSASEBOを利用してAESハードウェア向けDPA対策評価用のプラットフ ォームを提案している。このプラットフォームに基づき、実機上での提案手法によるDPA対策を評価し た実験結果によると、提案手法によるDPA対策は、確実にDPAを防御することができた。以上、AES暗号 に対して、差分電力解析攻撃に強い防御方法を考え、ハードウェアとして世界に先駆けて実装し、有効 性を示したことは学術的にも意義があり実用的に有効であると評価できる。
第7章では、本論文についてまとめている。
以上、本論文では、H.264/AVC 向けの新たな動画像暗号スキームを提案し、提案手法を実現する暗 号モジュールのハードウェア回路も同時に提案している。今後、安全や安心できる情報社会の実現が必 須であり、本論文で提案された方式、アーキテクチャ、ハードウェア回路が広く使われていくものと期 待でき、学術的な貢献のみならず、実用面で有効なものと評価できる。
よって本論文は博士(工学)の学位論文として価値あるものと認める。
2009年 1月14日
審査員
主 査 早稲田大学教授 工学博士(早稲田大学) 後藤 敏 早稲田大学教授 博士(工学)(大阪大学) 吉村 猛 早稲田大学教授 博士(情報科学)(早稲田大学) 池永 剛 早稲田大学客員教授 工学博士(中央大学) 角尾 幸保
