耐タンパディペンダブルvlsiシ...
TRANSCRIPT
耐タンパディペンダブルVLSIシステムの開発・評価
立命館大 藤野 毅・福井 正博・福水 洋平・Ahn Tuan Hoang産総研 佐藤 証・片下 敏弘
中央大 堀 洋平・今井秀樹
名城大 吉川 雅弥
~人為的攻撃による内部機密情報の漏洩・複製を防止するVLSIの実現~
平成21年10月14日領域会議資料
-2-
発表内容発表内容耐タンパLSI設計プラットフォーム(立命大藤野)
暗号処理LSIの背景説明と耐タンパディペンダビリティー
DPA攻撃の原理と対策回路(Domino-RSL方式)
耐タンパ性能評価プラットフォーム(産総研佐藤)
暗号モジュールの安全性評価制度
攻撃評価ボードSASEBOプロジェクト
偽造LSIを識別するPUFを用いたセキュリティシステム
全体計画と総括ご質問回答
-3-
0.0.背景(背景(DVLSIDVLSIののHPHPより)より)セキュリティーLSIへの人為的攻撃への対応大規模集積システムに搭載されている機密情報や個人情報の抜き取りなど意図的な攻撃によるディペンダビリティへの脅威が増大している.
将来、電子マネーや電子カルテ等の利用が進展し、攻撃に対する対策のない大規模集積回路により大規模集積システムに内蔵される銀行口座やプライバシーに関する情報が漏洩し、社会的な混乱を引き起こす可能性がある.
この問題への対策として,情報の防御システムをチップ上で構成する研究や,時間限定で情報が自動的に消去される研究などが必要とされている。
⇒機密情報保護の観点でディペンダブルな大規模集積システム すなわち 耐タンパVLSIが必要である.
-4-
0.暗号モジュールの用途
ICカード・RFID・電子パスポート
暗号ネットワーク通信
音楽・映像メディアのコンテンツ保護
ビジネス文書・FPGAの設計情報の保護
0
0.05
0.1
0.15
0.2
0.25
0.3
1987
1988
1989
1990
1991
1992
1993
1994
1995
1996
1997
1998
1999
2000
フランス銀行カード協会調べ
フランスのキャッシュカード被害率(%)
http://www.apple.com/ipod/
www.wi-fi.org
-5-
0.暗号処理回路とサイドチャネル情報
暗号鍵が機密情報を守る
標準暗号 3DES,AES⇒ 暗号アルゴリズムは公開⇒ 多くの研究者によって数学的な安全性は保証
暗号回路動作時のサイドチャネル情報
サイドチャネル情報=処理時間.消費電力,電磁波
サイドチャネル情報から暗号鍵を推定
サイドチャネル情報(危険!)
平文
暗号文
電磁波電流・電圧処理時間
暗号データ(安全)
-6-
0.耐タンパディペンダブルLSIの要件
下記のような物理攻撃・複製技術に対して耐性のあるセキュリティーLSI
正規データ入出力
侵襲攻撃
電磁波電流・電圧処理時間
回路パターン解析配線プローブ
漏洩情報
不正入力
周波数操作電圧操作ノイズ印加
パッケージ開封光・電磁波放射線照射
サイドチャネル攻撃
フォールト攻撃
非正規データ出力非正規データ出力
クローン複製技術
セキュリティーLSI
-7-
本研究の目標本研究の目標3種の物理攻撃と偽造LSIの製造に対する防御方法を備えた,耐タンパLSIを実現し以下3つの成果物を得る.
(1)耐タンパ性LSI設計プラットフォーム
物理攻撃に対する,耐タンパ性を有するLSIの設計指針
LSIを容易かつ低コストで設計・製造するための設計プラットフォームを提供.
(2)耐タンパ性能評価プラットフォームセキュリティLSIの耐タンパ性能を評価する指針
攻撃実験用のLSIボードを開発し,評価試験環境を構築
(3)偽造LSIを識別するPUFを用いたセキュリティシステム
LSIに固有の物理特性の差異を識別するPUF(Physically Unclonable Function)の回路設計・開発
PUFと暗号技術を融合した新しいセキュリティシステムの提案.
-8-
1.1.電力利用サイドチャネル攻撃の原理電力利用サイドチャネル攻撃の原理
単純な2入力ANDゲートの場合
A1⇒A2,B1⇒B2,の遷移は24=16通り
A1 B1 A2 B2 F1 F2
0 0 0 0 0 0
0 0 0 1 0 0
0 0 1 0 0 0
0 0 1 1 0 1 遷
0 1 0 0 0 0
0 1 0 1 0 0
0 1 1 0 0 0
0 1 1 1 0 1 遷
1 0 0 0 0 0
1 0 0 1 0 0
1 0 1 0 0 0
1 0 1 1 0 1 遷
1 1 0 0 1 0 遷
1 1 0 1 1 0 遷
1 1 1 0 1 0 遷
1 1 1 1 1 1
AB
F
A1=0のときの遷移確率 2/8
消費電力に差が出る
1/4回電力増加
A1=1のときの遷移確率 4/8
1/2回電力増加
注目ビット
注目ビットの値を推定し,注目ビットが1の場合と0の場合の消費電力に差が生じれば推定値は正しい
-9-
1.1.電力利用サイドチャネル攻撃(電力利用サイドチャネル攻撃(DPADPA))1999年にKocherらによって提案された電力差分解析(DPA)攻撃により,未対策回路では,実際に共通鍵暗号回路の鍵は容易に窃取可能
ピークが出た!!(推測した鍵が正しい)
01001101001011010101111101100
01001101001011010101111101100
Output
内部の鍵情報を推測
消費電力波形測定
特定の内部ノードの値0? 1? or
遷移する? しない?を推測
グループ "0"
グループ "1"
両グループの平均の差分を導出
数千~数万パターン
=
Input 振り分け
平文
暗号文
-10-
1.1.サイドチャネル攻撃(サイドチャネル攻撃(DPADPA)手法)手法攻撃ターゲットボード,オシロスコープ,PCで攻撃可能
FPGAボード(SASEBO-GII)上の暗号回路をオシロスコープを使用してリアルタイムDPA解析するデモをご覧いただきます.
-11-
1.1.電力利用サイドチャネル攻撃の原理電力利用サイドチャネル攻撃の原理
単純な2入力ANDゲートの場合
A1⇒A2,B1⇒B2,の遷移は24=16通り
A1 B1 A2 B2 F1 F2
0 0 0 0 0 0
0 0 0 1 0 0
0 0 1 0 0 0
0 0 1 1 0 1 遷
0 1 0 0 0 0
0 1 0 1 0 0
0 1 1 0 0 0
0 1 1 1 0 1 遷
1 0 0 0 0 0
1 0 0 1 0 0
1 0 1 0 0 0
1 0 1 1 0 1 遷
1 1 0 0 1 0 遷
1 1 0 1 1 0 遷
1 1 1 0 1 0 遷
1 1 1 1 1 1
AB
F
A1=0のときの遷移確率 2/8
消費電力に差が出る
1/4回電力増加
A1=1のときの遷移確率 4/8
1/2回電力増加
注目ビット
注目ビットの値を推定し,注目ビットが1の場合と0の場合の消費電力に差が生じれば推定値は正しい
再掲
-12-
11.消費電力が入力演算データ値に依存しない論.消費電力が入力演算データ値に依存しない論
理ゲート:2線式ロジック理ゲート:2線式ロジックAND回路の横にダミーのORゲートを配置⇒ LSIゲート出力の遷移確率50%
AND OR
A1 B1 A2 B2 F1 F2 F1 F2
0 0 0 0 0 0 0 0
0 0 0 1 0 0 0 1
0 0 1 0 0 0 0 1
0 0 1 1 0 1 0 1
0 1 0 0 0 0 1 0
0 1 0 1 0 0 1 1
0 1 1 0 0 0 1 1
0 1 1 1 0 1 1 1
1 0 0 0 0 0 1 0
1 0 0 1 0 0 1 1
1 0 1 0 0 0 1 1
1 0 1 1 0 1 1 0
1 1 0 0 1 0 1 1
1 1 0 1 1 0 1 1
1 1 1 0 1 0 1 1
1 1 1 1 1 1 1 1
AB F
F(dum)遷移確率一定
(右図)
問題点
遷移確率は一定になったが、FとF(dum)の負荷容量を一定にしな
いと消費電力が一定にならない
⇒LSI実装時の大きな制約
-13-
11.. DominoDomino--RSL(RSL(RRandomandom SSwitching witching LLogicogic))方式方式
乱数rでAND/ORが切り替わるRSL方式ゲートどんな入力に対しても消費電力が均一になる
Domino-RSL AND/ORゲート
x y
r
clk
zxy
clk
r=1r=0 r=1
r=0
消費電力一定
*DPA耐性の確認されている三菱電機考案RSLゲートと原理は同じ.非同期enable信号が不要で,ゲート面積が小さい特長がある.
-14-
11..DominoDomino--RSLRSLによる回路実装による回路実装
),,( ryxfz=
rax ⊕=
rby ⊕=z rzc ⊕=
r
組み合わせ論理回路をDomino-RSL回路で構成し、その前後でマスク/アンマスク処理を実施することで正常演算可能
Domino-RSLAND/ORゲート
乱数
マスク処理前
演算処理 アンマスク処理後
r a b x y Z c
00 0 0 0 0 0
0 1 0 1 0 0
1 0 1 0 0 0
1 1 1 1 1 1
10 0 1 1 1 0
0 1 1 0 1 0
1 0 0 1 1 0
1 1 0 0 0 1
AND演算
OR演算
正論理
負論理
CBA =⋅
CBA =+
同じ
-15-
11.消費電力サイドチャネル攻撃耐性目標.消費電力サイドチャネル攻撃耐性目標Domino-RSLゲート使用暗号回路では約100万波形収集をおこなっても暗号鍵特定不可能を確認する
正解
鍵特
定バ
イト
数 8
104 105 106
波形取得数
未対策回路
DPA対策回路
IP
平文
DFF(R)DFF(L)
MUX MUX
Expansion
key
AN
DS-Box
P-Box
r0 r0
r0r1
r0
r1F関数処理
暗号文
Domino RSL
乱数
CLK
Domino-RSLAND/ORゲート
x
y )(rr
x y
z
clk
clk
-16-
11.. DominoDomino--RSLRSLを用いたを用いたLSILSI設計環境設計環境
Domino-RSL方式をストラクチャードASIC化
HDL記述からレイアウト合成までの自動設計ツール
-17-
1.DPA対策回路(他の提案)ランダムマスク型
演算データが常に乱数マスクされる
ゲート規模が非常に増大する
ハザードに伴うDPAリークが指摘されている
2線相補型(WDDL)
配線寄生容量の均一化が困難
A
A
B
F
B
AAA
A
A
A
A
A
AA
B
B
F
F
F
寄生容量均一化
xrax ⊕=
yrby ⊕=
zrbaz ⊕×=
zr
yr
xr
ランダムマスク型(Trichina@2003) WDDL(Tiri@2004)
18
2. プロジェクト概要2. プロジェクト概要
• サイドチャネル攻撃評価ボードと暗号回路を開発し標準評価実験環境を構築
• NISTとの協力関係を密にし,FIPS 140-3標準化・ISO/IEC 19790改定に貢献
ISO/IEC 19790ISO/IEC 24759
FIPS 140-3
国際規格策定への貢献
研究員派遣
配布
標準評価試験環境の構築
国内外の研究機関
共同研究
評価技術研究開発
実験レポート論文・コメント
技術提供
ノウハウ公開
情報機器の安全性向上
ISO/IEC化
評価・認証
LSILSI
評価指針Draft
執筆
米国連邦標準技術研究所NIST
東北大学
横浜国立大学
CRYPTREC暗号実装委員会
NICT
IPA
JCMVP(Japan Cryptographic
Module Validation Program)
19
2.FIPS 140-2 (ISO/IEC 19790)2.FIPS 140-2 (ISO/IEC 19790)• 米国連邦標準FIPS140-2 “暗号モジュールのセキュリティ要件”をベースに標準化
されたISO/IEC 19790の国内評価制度JCMVPが始まっている
• 11のカテゴリ毎( ISO/IEC 19790ではカテゴリ8は削除)に定められたセキュリティ要件に対して1~4のレベル評価が行われる
• 新の研究であるサイドチャネル攻撃などを取り入れたFIPS140-3への改定作業も進んでいる
認証
を受
けた
モジ
ュー
ル数
規定内容セキュリティ要件
「FIPS 140-2」で規定されていない攻撃への対処方法
ガイドライン等
暗号モジュールの正しい動作を確認するテスト
電磁波に対する要件
鍵生成,鍵の入出力等暗号モジュールの動作環境
表面処理やカバー等の物理的セキュリティ要件
状態遷移の記載
ユーザーの役割や役割ごとに提供されるサービス,ユーザーの認証方法
情報の入出力
暗号モジュールの仕様と「FIPS 140-2」の適用範囲
その他の攻撃の対処
設計保証
自己テスト
電磁妨害/電磁両立性(EMI/EMC)
暗号鍵管理動作環境
物理セキュリティ
有限状態モデル
役割,サービス,及び認証
暗号モジュールのポート・インタフェース
暗号モジュール仕様
11
10
9
8
76
5
4
3
2
1
0
20
40
60
80
100
120
140
160
1995
1996
1997
1998
1999
2000
2001
2002
2003
2004
2005
2006
2007
Level 4Level 3Level 2Level 1
20
2.CRYPTREC委員会活動2.CRYPTREC委員会活動
• 2000年に経済産業省と総務省が電子政府で使用される暗号評価を目的としCRYPTREC (Cryptography Research and Evaluation Committees)を発足
CRYPTREC暗号技術評価委員会
暗号技術検討会暗号技術検討会
暗号モジュール委員会暗号モジュール委員会
電子政府推奨暗号リストと評価レポートを作成暗号技術監視委員会へ継続
FIPS140-2のISO/IEC19790, 24759標準化への貢献JCMVPや暗号モジュール評価基準策定への貢献
暗号モジュール評価標準プラットフォームを用いた実験
00~03年
03年~08年
暗号実装委員会暗号実装委員会
09年~ FIPSおよびISO/IECにおけるサイドチャネル攻撃の評
価指針策定への貢献電子政府推奨暗号リスト改定におけるハードウェア性能評価とサイドチャネル攻撃評価の検討
21
2.ITセキュリティ評価及び認証制度ISO/IEC154082.ITセキュリティ評価及び認証制度ISO/IEC15408
• ISO/IEC 15408 (CC: Common Criteria) はITセキュリティ製品のセキュリティ要件とその評価手法を定めた国際標準
• 第三者機関による評価を元に公的機関(日本ではIPA)が認証書を発行
• 認証国(13ヶ国)で評価・認証されたIT製品・システムは、他の認証国・受入国(12ヶ国)でも認証の効力を持つ
• EAL1~7はベンダーが策定したSecurity Targetにおける機能の信頼度を表す
• ICカード評価はCC認証取得が必須.米国内での利用はCMVP認証も求められる
認証国
受入国
IPA『ISO/IEC 15408のセキュリティ評価・認証』より
22
2.サイドチャネル攻撃標準評価ボードSASEBO
2.サイドチャネル攻撃標準評価ボードSASEBO
Xilinx FPGA
ALTERA FPGA暗号LSI Xilinx FPGA
SASEBO
SASEBO-RSASEBO-B SASEBO-G
Side-channel Attack Standard Evaluation BOard
• 4種類のボードを開発
– SASEBO:Xilinx FPGA (18年度)– SASEBO-B:ALTERA FPGA (19年度)– SASEBO-R:暗号LSI (19年度)– SASEBO-G:Xilinx FPGA (20年度)
• SASEBOにAESを実装したSASEBO-AESは暗号ハードウェアモジュールとして初のJCMVP (Japan Cryptographic Hardware Module Validation Program)認証を取得
23
2.標準暗号LSI2.標準暗号LSI
• 平成19年度に全てのISO/IEC標準ブロック暗号とRSA暗号を実装した130nm CMOSによる評価用LSIを開発
標準暗号LSI (130nm) DPA対策版LSI (130nm) DPA対策版LSI (90nm)
– 128bit暗号:AES, Camellia– 64bit暗号:DES,MISTY1,SEED,
CAST128• 平成20年度は各種DPA対策を施し
たAES回路(横浜国立大学提供)や楕円曲線暗号(電気通信大学提供)を実装した130nmと90nmの2種類のLSIを開発
24
2.SASEBO-GII2.SASEBO-GII
SASEBO250㎜×200㎜
SASEBO-GII140㎜×120㎜
• 小型・高性能ボードSASEBO-GIIを用いた研究とビジネス
– SASEBO-GのFPGA Virtex-IIのロジック容量では,DPA対策を施した回路に対して不足
– SASEBOを利用したいというリクエストが多く寄せられるが,実績のある研究機関にのみ配布
– 新のVirtex-5 LX30/50を用い,これまでの実験・研究で得たノウハウを集約したSASEBO-GIIを開発し,東京エレクトロンデバイスから商用として11月に販売
• ロジック容量は4~7倍
• ボードサイズが1/3• 電源・クロック系のノイズ低減
• USB経由で4種類のコンフィグレーションモードをサポート
25
2.広まるSASEBOの利用2.広まるSASEBOの利用
• 暗号実装の研究で実績のある国内外約60機関にSASEBOを配布
• 英文誌・国際会議25件,和文紙・国内研究会50件の関連発表
• 暗号ハードウェアに関する も権威のある国際会議CHESを2011年に東京に招致
• CHESのスペシャルセッションDPAコンテストでSASEBO-GIIを標準ボードとして利用予定
• 経産省の「高度大規模半導体集積回路セキュリティ評価技術開発」のICチップセキュリティ評価で利用
• 総務省と経産省の「電子政府推奨暗号リスト」の改定作業で利用予定
(平成21年3月現在)http://www.iacr.org/workshops/ches/
26
2.測定環境・解析ツールの開発2.測定環境・解析ツールの開発
• 試験機関で統一された安全性評価を行うために,測定環境の統一化を図り,様々な評価(攻撃)手法をガイドラインとして定めるとともに,それを実装した自動評価ツールのプロトタイプを開発
• 同じツールを用いても,解析結果は測定環境や試験者のスキルに大きく依存するので,SASEBOに暗号回路を実装し,それを解析するテストにより試験機関のレベルをそろえる
• 試験環境ツールのサポート体制の強化のため,国内外のボードメーカーやICカード評価ツール
メーカーと協力
-27-
セレクタチェインによる信号遅延を利用したPUF回路
3.PUF (Physically Unclonable Function)とは?3.PUF 3.PUF ((PPhysically hysically UUnclonablenclonable FFunctionunction)とは?)とは?
人工物メトリックスによる真贋判定:人の指紋のように紙の模様・磁気体の磁力ムラなど人工物の偶然にできるパターンを活用
LSIにおいてもトランジスタや配線の製造時のばらつきを利用し,ハードウェアの個体を判別する技術PUF(Physically UnclonableFunction )の研究が開始.
LSIのパターンが丸ごと不正にコピーされても,本物と偽物の区別が可能であることからICカードの偽造対策等に有望.
(引用)M.Majzoobi et. al. : International Test Conference 08, Paper31.3
-28-
3. 3. PUFPUFデバイス回路設計と特性評価の定式化デバイス回路設計と特性評価の定式化
熱特性
様々なTEGについて各種物理的特性を測定し,熱の影響や経時変化を考慮した特性ばらつきにモデル化・定式化を行う(シミュレーションとTEG試作)セレクタチェインをベースとするフィードフォワードループ追加等様々な回路を実装し,物理特性パラメータの測定・評価を行う(FPGA検証)
-29-
3.PUFと暗号技術を融合した偽造防止システム33..PUFPUFと暗号技術を融合した偽造防止システムと暗号技術を融合した偽造防止システム
PUFリーダ
カード製造またはイニシャライズ時
ICカード
特性抽出
ICカード内秘密鍵
電子署名
PUFリーダ
カード利用時
特性抽出
公開鍵
署名検証
比較
利用可
一致
利用不可
不一致
ICカード等の実システムにおいてPUFを利用するため,暗号技術と融合した利用方式の提案と評価を行う
-30-
4.4.研究役割分担体制研究役割分担体制
専門分野耐タンパ性LSI設
計プラットフォーム耐タンパ性性能評価プラットフォーム
PUFデバイス使用セキュリティスシテム
立命大
プログラマブルLSI設計と回路設計
耐タンパプログラマブルLSIマクロ
設計
サイドチャネル攻撃実験評価
PUFデバイスの回路実装
産総研
LSI論理設計と各種攻撃評価システム
各種評価ボード設計と評価
PUFデバイス設計とPUF利用セキュリティーシステム構築
中央大
暗号アルゴリズムとLSI論
理設計
フォールト攻撃対策検討
サイドチャネル攻撃/フォールト攻撃実験
評価
名城大
プログラマブルLSI設計CAD構築
耐タンパLSIマクロ設計CAD構築
-31-
130nm
65nm
180nm
H21 H22 H23 H24 H25 H26
輻射電磁波
PUF基礎実験
180nm
CADシステム(プロトタイプ)
CADシステム
(改良版)
VPRSL回路
180nm
180nm
フォールト・侵襲評価TEG
フォールト対策評価
180nm
PUF実証実験
耐タンパ対策評価LSI
耐タンパ性評価ボード改造
耐タンパ性評価改良ボード
フォールト・侵襲攻撃環境構築
マッチング評価PUFシステム構築
4.4.耐タンパディペンダブル耐タンパディペンダブルVLSIVLSIシステムシステムの開発・評価の開発・評価全体計画概要全体計画概要
耐タンパ性設計プラットフォーム
の研究
耐タンパ性能評価プラットフォー
ムの研究
偽造LSIを識別するPUFを用いた
セキュリティーシステムの研究
CAD
CAD
65nm
DPA・DEMA評価
-32-
4.H21年度の計画概要(1)耐タンパ性LSI設計プラットフォーム
擬似Domino-RSL回路を用いたDES暗号回路のFPGA実装と耐タンパ性評価
Domino-RSL回路を使ったSimplified-DES回路チップ試作
プログラマブルLSIを指向した配線アークテクチャの開発・評価
(2)耐タンパ性能評価プラットフォームフォールトおよび侵襲(破壊)攻撃を行うための暗号LSIの設計(イーシャトル65nm)
フォールトおよび電磁波攻撃試験環境の構築
(3)偽造LSIを識別するPUFを用いたセキュリティシステムFPGAボードを用いたセレクタチェイン型PUFの検討
セレクタチェイン型PUFの回路設計とSPICEシミュレーションによる検討