耐タンパディペンダブル
VLSIシ
ステムの開発・評価
立命館大 藤野 毅・福井 正博・福水 洋平・Ahn Tuan Hoang 産総研 佐藤 証・片下 敏弘 中央大 堀 洋平・今井秀樹 名城大 吉川 雅弥
~人為的攻撃による内部機密情報の
漏洩・複製を防止する
VLSIの実現~
平成21年10月14日領域会議資料発表内容
発表内容
耐タンパ
LSI設計プラットフォーム(立命大藤野)
暗号処理LSIの背景説明と耐タンパディペンダビリティー DPA攻撃の原理と対策回路(Domino-RSL方式)耐タンパ性能評価プラットフォーム(産総研佐藤)
暗号モジュールの安全性評価制度 攻撃評価ボードSASEBOプロジェクト偽造
LSIを識別するPUFを用いたセキュリティシステム
全体計画と総括ご質問回答
0.
0.
背景(
背景(
DVLSI
DVLSI
の
の
HP
HP
より)
より)
セキュリティー
LSIへの人為的攻撃への対応
大規模集積システムに搭載されている機密情報や個
人情報の抜き取りなど
意図的な攻撃によるディペンダ
ビリティへの脅威
が増大している.
将来、電子マネーや電子カルテ等の利用が進展し、攻撃に対 する対策のない大規模集積回路により大規模集積システムに 内蔵される銀行口座やプライバシーに関する情報が漏洩し、 社会的な混乱を引き起こす可能性がある.この問題への対策として,
情報の防御システムをチッ
プ上で構成する研究
や,時間限定で情報が自動的に
消去される研究などが必要とされている。
⇒機密情報保護の観点でディペンダブルな大規模集積
システム すなわち
耐タンパVLSI
が必要である.
0.暗号モジュールの用途
ICカード・RFID・電子パスポート
暗号ネットワーク通信
音楽・映像メディアのコンテンツ保護
ビジネス文書・
FPGAの設計情報の保護
0 0.05 0.1 0.15 0.2 0.25 0.3 1987 1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 フランス銀行カード協会調べ フランスのキャッシュカード被害率 (%) http://www.apple.com/ipod/ www.wi-fi.org0.暗号処理回路とサイドチャネル情報
暗号鍵が機密情報を守る
標準暗号
3DES,AES
⇒ 暗号アルゴリズムは公開
⇒ 多くの研究者によって数学的な安全性は保証
暗号回路動作時のサイドチャネル情報
サイドチャネル情報=処理時間.消費電力,電磁波 サイドチャネル情報から暗号鍵を推定 サイドチャネル 情報(危険!) 平文 暗号文 電磁波 電流・電圧 処理時間 暗号データ (安全)0.耐タンパディペンダブルLSIの要件
下記のような物理攻撃・複製技術に対して耐性の
あるセキュリティー
LSI
正規データ入出力 侵襲攻撃 電磁波 電流・電圧 処理時間 回路パターン解析 配線プローブ 漏洩情報 不正入力 周波数操作 電圧操作 ノイズ印加 パッケージ開封 光・電磁波 放射線照射 サイドチャネル 攻撃 フォール ト攻撃 非正規データ出力 非正規データ出力 クローン複製技術 セキュリティーLSI本研究の目標
本研究の目標
3種の物理攻撃と偽造LSIの製造に対する防御方法を備
えた,耐タンパ
LSIを実現し以下3つの成果物を得る.
(1)耐タンパ性
LSI設計プラットフォーム
物理攻撃に対する,耐タンパ性を有するLSIの設計指針 LSIを容易かつ低コストで設計・製造するための設計プラット フォームを提供.(2)耐タンパ性能評価プラットフォーム
セキュリティLSIの耐タンパ性能を評価する指針 攻撃実験用のLSIボードを開発し,評価試験環境を構築(3)偽造
LSIを識別するPUFを用いたセキュリティシステム
LSIに固有の物理特性の差異を識別するPUF(Physically Unclonable Function)の回路設計・開発 PUFと暗号技術を融合した新しいセキュリティシステムの提案.1.
1.
電力利用サイドチャネル攻撃の原理
電力利用サイドチャネル攻撃の原理
単純な2入力ANDゲートの場合 A1⇒A2,B1⇒B2,の遷移は24=16通り A1 B1 A2 B2 F1 F2 0 0 0 0 0 0 0 0 0 1 0 0 0 0 1 0 0 0 0 0 1 1 0 1 遷 0 1 0 0 0 0 0 1 0 1 0 0 0 1 1 0 0 0 0 1 1 1 0 1 遷 1 0 0 0 0 0 1 0 0 1 0 0 1 0 1 0 0 0 1 0 1 1 0 1 遷 1 1 0 0 1 0 遷 1 1 0 1 1 0 遷 1 1 1 0 1 0 遷 1 1 1 1 1 1 A B F A1=0のときの遷移確率 2/8 消費電力に差が出る 1/4回電力増加 A1=1のときの遷移確率 4/8 1/2回電力増加 注目ビット 注目ビットの値を推定し,注目ビットが1の場合と0 の場合の消費電力に差が生じれば推定値は正しい1.
1.
電力利用サイドチャネル攻撃(
電力利用サイドチャネル攻撃(
DPA
DPA
)
)
1999年にKocherらによって提案された電力差分解析
(DPA)攻撃により,未対策回路では,実際に共通鍵暗号
回路の鍵は容易に窃取可能
ピークが出た!! (推測した鍵が正しい) 01001101001 0110101011 11101100 01001101001 0110101011 11101100 Output 内部の鍵情報を推測 消費電力 波形測定 特定の内部ノードの値 0? 1? or 遷移する? しない? を推測 グループ "0" グループ "1" 両グループの 平均の差分を導出 数千~数万パターン = Input 平文 振り分け 暗号文1.
1.
サイドチャネル攻撃(
サイドチャネル攻撃(
DPA
DPA
)手法
)手法
攻撃ターゲットボード,オシロスコープ,PCで攻撃可能
FPGAボード(SASEBO-GII)上の暗号回路をオシロスコープを 使用してリアルタイムDPA解析するデモをご覧いただきます.
1.
1.
電力利用サイドチャネル攻撃の原理
電力利用サイドチャネル攻撃の原理
単純な2入力ANDゲートの場合 A1⇒A2,B1⇒B2,の遷移は24=16通り A1 B1 A2 B2 F1 F2 0 0 0 0 0 0 0 0 0 1 0 0 0 0 1 0 0 0 0 0 1 1 0 1 遷 0 1 0 0 0 0 0 1 0 1 0 0 0 1 1 0 0 0 0 1 1 1 0 1 遷 1 0 0 0 0 0 1 0 0 1 0 0 1 0 1 0 0 0 1 0 1 1 0 1 遷 1 1 0 0 1 0 遷 1 1 0 1 1 0 遷 1 1 1 0 1 0 遷 1 1 1 1 1 1 A B F A1=0のときの遷移確率 2/8 消費電力に差が出る 1/4回電力増加 A1=1のときの遷移確率 4/8 1/2回電力増加 注目ビット 注目ビットの値を推定し,注目ビットが1の場合と0 の場合の消費電力に差が生じれば推定値は正しい再掲
1
1
.消費電力が入力演算データ値に依存しない論
.消費電力が入力演算データ値に依存しない論
理ゲート:2線式ロジック
理ゲート:2線式ロジック
AND回路の横にダミーのOR ゲートを配置 ⇒ LSIゲート出力の遷移確率50% AND OR A1 B1 A2 B2 F1 F2 F1 F2 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 1 0 0 1 0 0 0 0 1 0 0 1 1 0 1 0 1 0 1 0 0 0 0 1 0 0 1 0 1 0 0 1 1 0 1 1 0 0 0 1 1 0 1 1 1 0 1 1 1 1 0 0 0 0 0 1 0 1 0 0 1 0 0 1 1 1 0 1 0 0 0 1 1 1 0 1 1 0 1 1 0 1 1 0 0 1 0 1 1 1 1 0 1 1 0 1 1 1 1 1 0 1 0 1 1 1 1 1 1 1 1 1 1 A B F F(dum) 遷移確率一定 (右図) 問題点 遷移確率は一定になったが、Fと F(dum)の負荷容量を一定にしな いと消費電力が一定にならない⇒
LSI実装時の大きな制約1
1
.
.
Domino
Domino
-
-
RSL(
RSL(
R
R
andom
andom
S
S
witching
witching
L
L
ogic
ogic
)
)
方式
方式
乱数rでAND/ORが切り替わるRSL方式ゲート どんな入力に対しても消費電力が均一になる
Domino-RSL AND/OR
ゲート
x
y
r
clkz
x
y
clk r=1 r=0 r=1 r=0 消費電力 一定 *DPA耐性の確認されている三菱電機考案RSLゲートと原理は同じ. 非同期enable信号が不要で,ゲート面積が小さい特長がある.1
1
.
.
Domino
Domino
-
-
RSL
RSL
による回路実装
による回路実装
) , , (x y r f z= r a x = ⊕ r b y = ⊕ z c = z ⊕r r 組み合わせ論理回路をDomino-RSL回路で構成し、その前後 でマスク/アンマスク処理を実施することで正常演算可能 Domino-RSL AND/ORゲート 乱 数 マスク 処理前 演算処理 アンマスク 処理後 r a b x y Z c0
0 0 0 0 0 0 0 1 0 1 0 0 1 0 1 0 0 0 1 1 1 1 1 11
0 0 1 1 1 0 0 1 1 0 1 0 1 0 0 1 1 0 1 1 0 0 0 1 AND演算 OR演算 正論理 負論理C
B
A
⋅
=
C B A + = 同じ1
1
.消費電力サイドチャネル攻撃耐性目標
.消費電力サイドチャネル攻撃耐性目標
Domino-RSLゲート使用暗号回路では約100万波形収集をおこ なっても暗号鍵特定不可能を確認する 正解鍵特定バイト数 8 104 105 106 未対策回路 DPA対策回路 IP 平文 DFF(R) DFF(L) MUX MUX Expansion key AND S-Box P-Box r0 r0 r0 r1 r0 r1 F関数処理 暗号文 Domino RSL 乱数 CLK Domino-RSL AND/ORゲート x y r(r) x y z clk clk1
1
.
.
Domino
Domino
-
-
RSL
RSL
を用いた
を用いた
LSI
LSI
設計環境
設計環境
Domino-RSL方式をストラクチャードASIC化
1.DPA対策回路(他の提案)
ランダムマスク型
9
演算データが常に乱数マスクされる9
ゲート規模が非常に増大する9
ハザードに伴うDPAリークが指摘されている2線相補型(WDDL)
9
配線寄生容量の均一化が困難 A A B F B A A A A A A A A A A B B F F F 寄生容量均一化 x r a x = ⊕ y r b y = ⊕ z r b a z= × ⊕ z r y r x r ランダムマスク型(Trichina@2003) WDDL(Tiri@2004)2. プロジェクト概要
2. プロジェクト概要
• サイドチャネル攻撃評価ボードと暗号回路を開発し標準評価実験環境を構築 • NISTとの協力関係を密にし,FIPS 140-3標準化・ISO/IEC 19790改定に貢献 ISO/IEC 19790 ISO/IEC 24759 FIPS 140-3 国際規格策定への貢献 研究員 派遣 配布 標準評価試験環境の構築 国内外の研究機関 共同 研究 評価技術研究開発 実験レポート 論文・コメント 技術 提供 ノウハウ 公開 情報機器の安全性向上 ISO/IEC化 評価・認証 LSI LSI 評価指針 Draft 執筆 米国連邦標準技 術研究所NIST 東北大学 横浜国立 大学 CRYPTREC暗号 実装委員会 NICT IPA JCMVP (Japan Cryptographic Module Validation Program)2.FIPS 140-2 (ISO/IEC 19790)
2.FIPS 140-2 (ISO/IEC 19790)
• 米国連邦標準FIPS140-2 “暗号モジュールのセキュリティ要件”をベースに標準化 されたISO/IEC 19790の国内評価制度JCMVPが始まっている • 11のカテゴリ毎( ISO/IEC 19790ではカテゴリ8は削除)に定められたセキュリティ 要件に対して1~4のレベル評価が行われる • 最新の研究であるサイドチャネル攻撃などを取り入れたFIPS140-3への改定作業 も進んでいる 認証を受けた モジュール数 規定内容 セキュリティ要件 「FIPS 140-2」で規定されて ガイドライン等 暗号モジュールの正しい動 作を確認するテスト 電磁波に対する要件 鍵生成,鍵の入出力等 暗号モジュールの動作環境 表面処理やカバー等の物理 的セキュリティ要件 状態遷移の記載 ユーザーの役割や役割ごと に提供されるサービス, ユーザーの認証方法 情報の入出力 暗号モジュールの仕様と 「FIPS 140-2」の適用範囲 その他の攻撃の対処 設計保証 自己テスト 電磁妨害/電磁両 立性(EMI/EMC) 暗号鍵管理 動作環境 物理セキュリティ 有限状態モデル 役割,サービス,及 び認証 暗号モジュールの ポート・インタフェース 暗号モジュール仕様 10 9 8 7 6 5 4 3 2 1 0 20 40 60 80 100 120 140 160 1995199619971998199920002001200220032004200520062007 Level 4 Level 3 Level 2 Level 12.CRYPTREC委員会活動
2.CRYPTREC委員会活動
• 2000年に経済産業省と総務省が電子政府で使用される暗号評価を目的とし CRYPTREC (Cryptography Research and Evaluation Committees)を発足
CRYPTREC 暗号技術評価委員会 暗号技術検討会 暗号技術検討会 暗号モジュール委員会 暗号モジュール委員会 電子政府推奨暗号リストと評価レポートを作成 暗号技術監視委員会へ継続 FIPS140-2のISO/IEC19790, 24759標準化への貢献 JCMVPや暗号モジュール評価基準策定への貢献 暗号モジュール評価標準プラットフォームを用いた実験 00~03年 03年~08年 暗号実装委員会 暗号実装委員会 09年~ FIPSおよびISO/IECにおけるサイドチャネル攻撃の評価指針策定への貢献 電子政府推奨暗号リスト改定におけるハードウェア性能 評価とサイドチャネル攻撃評価の検討
2.ITセキュリティ評価及び認証制度ISO/IEC15408
2.ITセキュリティ評価及び認証制度ISO/IEC15408
• ISO/IEC 15408 (CC: Common Criteria) はITセキュリティ製品のセキュリティ要 件とその評価手法を定めた国際標準 • 第三者機関による評価を元に公的機関(日本ではIPA)が認証書を発行 • 認証国(13ヶ国)で評価・認証されたIT製品・システムは、他の認証国・受入国 (12ヶ国)でも認証の効力を持つ • EAL1~7はベンダーが策定したSecurity Targetにおける機能の信頼度を表す • ICカード評価はCC認証取得が必須.米国内での利用はCMVP認証も求められる 認証国 受入国 IPA『ISO/IEC 15408のセキュリティ評価・認証』より
2.サイドチャネル攻撃標準評価ボード
SASEBO
2.サイドチャネル攻撃標準評価ボード
SASEBO
Xilinx FPGA
ALTERA FPGA 暗号LSI Xilinx FPGA
SASEBO
SASEBO-G
S
ide-channel
A
ttack
S
tandard
E
valuation
BO
ard
• 4種類のボードを開発 – SASEBO:Xilinx FPGA (18年度) – SASEBO-B:ALTERA FPGA (19年度) – SASEBO-R:暗号LSI (19年度) – SASEBO-G:Xilinx FPGA (20年度) • SASEBOにAESを実装したSASEBO-AES は暗号ハードウェアモジュールとして初の JCMVP (Japan Cryptographic Hardware Module Validation Program)認証を取得
2.標準暗号LSI
2.標準暗号LSI
• 平成19年度に全てのISO/IEC標準ブロック暗号とRSA暗号を実装した130nm CMOSによる評価用LSIを開発
標準暗号LSI (130nm) DPA対策版LSI (130nm) DPA対策版LSI (90nm)
– 128bit暗号:AES, Camellia – 64bit暗号:DES,MISTY1,SEED, CAST128 • 平成20年度は各種DPA対策を施し たAES回路(横浜国立大学提供)や 楕円曲線暗号(電気通信大学提供) を実装した130nmと90nmの2種類 のLSIを開発
2.SASEBO-GII
2.SASEBO-GII
SASEBO 250㎜×200㎜ SASEBO-GII 140㎜×120㎜ • 小型・高性能ボードSASEBO-GII を用いた研究とビジネス – SASEBO-GのFPGA Virtex-IIの ロジック容量では,DPA対策を施 した回路に対して不足 – SASEBOを利用したいというリク エストが多く寄せられるが,実績 のある研究機関にのみ配布 – 最新のVirtex-5 LX30/50を用い, これまでの実験・研究で得たノウ ハウを集約したSASEBO-GIIを開 発し,東京エレクトロンデバイスか ら商用として11月に販売 • ロジック容量は4~7倍 • ボードサイズが1/3 • 電源・クロック系のノイズ低減 • USB経由で4種類のコンフィ グレーションモードをサポート2.広まるSASEBOの利用
2.広まるSASEBOの利用
• 暗号実装の研究で実績のある国内外約60機関にSASEBOを配布 • 英文誌・国際会議25件,和文紙・国内研究会50件の関連発表 • 暗号ハードウェアに関する最も権威のある国際会議CHESを2011年に東京に招致 • CHESのスペシャルセッションDPAコンテストでSASEBO-GIIを標準ボードとして利用予定 • 経産省の「高度大規模半導体集積回路セキュリティ評価技術開発」のICチップセキュリティ評価で利用 • 総務省と経産省の「電子政府推奨暗号リスト」の改定作業で利用予定 (平成21年3月現在) http://www.iacr.org/workshops/ches/2.測定環境・解析ツールの開発
2.測定環境・解析ツールの開発
• 試験機関で統一された安全性評価を行うために,測定環境の統一化を図り,様々な評価(攻撃) 手法をガイドラインとして定めるとともに,それを実装した自動評価ツールのプロトタイプを開発 • 同じツールを用いても,解析結果は測定環境や試験者のスキルに大きく依存するので,SASEBO に暗号回路を実装し,それを解析するテストにより試験機関のレベルをそろえる • 試験環境ツールのサポート体制の強化のため,国内外のボードメーカーやICカード評価ツール メーカーと協力セレクタチェインによる信号遅延を利用したPUF回路
3.PUF (
Physically Unclonable Function
)とは?
3.PUF
3.PUF
(
(
P
P
hysically
hysically
U
U
nclonable
nclonable
F
F
unction
unction
)とは?
)とは?
人工物メトリックスによる真贋判定:人の指紋のように紙の模様・ 磁気体の磁力ムラなど人工物の偶然にできるパターンを活用 LSIにおいてもトランジスタや配線の製造時のばらつきを利用し, ハードウェアの個体を判別する技術PUF(Physically Unclonable Function )の研究が開始. LSIのパターンが丸ごと不正にコピーされても,本物と偽物の区別 が可能であることからICカードの偽造対策等に有望.
3.
3.
PUF
PUF
デバイス回路設計と特性評価の定式化
デバイス回路設計と特性評価の定式化
様々な
TEGについて各種物理的特性を測定し,熱の
影響や経時変化を考慮した特性ばらつきにモデル
化・定式化を行う(シミュレーションと
TEG試作)
セレクタチェインをベースとするフィードフォワード
ループ追加等様々な回路を実装し,物理特性パラ
メータの測定・評価を行う(
FPGA検証)
3.PUFと暗号技術を融合した偽造防止システム
3
3
.
.
PUF
PUF
と暗号技術を融合した偽造防止システム
と暗号技術を融合した偽造防止システム
PUFリーダ カード製造または イニシャライズ時 ICカード 特性抽出 ICカード 内秘密鍵 電子 署名 PUFリーダ カード利用時 特性抽出 公開鍵 署名 検証 比較 利用可 一致 利用不可 不一致ICカード等の実システムにおいてPUFを利用するため,
暗号技術と融合した利用方式の提案と評価を行う
4.
4.
研究役割分担体制
研究役割分担体制
専門分野 耐タンパ性LSI設 計プラットフォーム 耐タンパ性性能 評価プラットフォーム PUFデバイス使用 セキュリティスシテム 立 命 大 プログラマブ ルLSI設計と 回路設計 耐タンパプログラ マブルLSIマクロ 設計 サイドチャネル攻撃 実験評価 PUFデバイスの 回路実装 産 総 研 LSI論理設計 と各種攻撃評 価システム 各種評価ボード 設計と評価 PUFデバイス設計 とPUF利用セキュリ ティーシステム構築 中 央 大 暗号アルゴリ ズムとLSI論 理設計 フォールト攻撃 対策検討 サイドチャネル攻撃/ フォールト攻撃実験 評価 名 城 大 プログラマブ ルLSI設計 CAD構築 耐タンパLSIマク ロ設計CAD構築130nm 65nm 180nm H21 H22 H23 H24 H25 H26 輻射電磁波 180nm CADシステム (プロトタイプ) CADシステム (改良版) VPRSL回路 180nm 180nm フォールト・侵襲 評価TEG フォールト対策評価 180nm 耐タンパ対策 評価LSI 耐タンパ性 評価ボード改造 耐タンパ性評価 改良ボード フォールト・侵襲攻撃環境構築 マッチング評価 PUFシステム構築 4. 4.耐タンパディペンダブル耐タンパディペンダブルVLSIVLSIシステムシステムの開発・評価の開発・評価全体計画概要全体計画概要 耐タンパ性設計 プラットフォーム の研究 耐タンパ性能評 価プラットフォー ムの研究 偽造LSIを識別す るPUFを用いた セキュリティーシ ステムの研究 CAD CAD 65nm DPA・DEMA評価
