サイドチャネル情報測定装置、サイドチャネル情報測定方法、サイドチャネル攻撃耐性評価システム、および、コンピュータ・プログラム
【課題】暗号装置の暗復号処理との関連性がより高いサイドチャネル情報を測定することが可能なサイドチャネル情報測定装置を提供すること。
【解決手段】サイドチャネル攻撃耐性評価対象となる暗号装置8から漏洩する漏洩情報を受信する漏洩情報受信部11と、漏洩情報において暗号装置8による暗復号処理の特徴を示す部分が所定の条件を満たす場合にオンとなるトリガ信号を生成するトリガ生成部12と、トリガ信号に基づいて漏洩情報を測定する測定部13と、を備える。
【解決手段】サイドチャネル攻撃耐性評価対象となる暗号装置8から漏洩する漏洩情報を受信する漏洩情報受信部11と、漏洩情報において暗号装置8による暗復号処理の特徴を示す部分が所定の条件を満たす場合にオンとなるトリガ信号を生成するトリガ生成部12と、トリガ信号に基づいて漏洩情報を測定する測定部13と、を備える。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、サイドチャネル情報を測定する技術に関する。
【背景技術】
【0002】
情報の電子データ化が進む中で、情報を保護するための秘匿な通信において、暗号はかかせない技術となっている。暗号は、その安全性を保つために、鍵等の秘匿情報が容易に推測できないようにする必要がある。暗号解読方法としては、鍵の全数探索、線形解読、あるいは、差分解読等といった手法が知られているが、現実的な時間での解読は不可能とされている。
【0003】
その一方で、携帯端末等の暗号機能を実装した装置(以下、単に暗号装置ともいう)において、攻撃者が処理時間や消費電力等のサイドチャネル情報を精密に測定できるとの仮定の下で、サイドチャネル情報から秘匿情報の取得を試みるサイドチャネル攻撃とその対策が大きな研究テーマとなっている。
【0004】
非特許文献1には、暗号機能付きの接触型IC(Integrated Circuit)カードや携帯端末等の暗号装置において、暗号処理中に装置から発生する漏洩電磁波を測定することで秘密情報の解析を行う電磁波解析が示されている。この電磁波解析は、暗号装置内のCPU(Central Processing Unit)やLSI(Large Scale Integration)等において実行される処理命令やオペランドにより変化する電流に依存して発生する電磁波を、入出力の異なる1つ以上の処理に対して測定し解析する。これにより、この電磁波解析は、暗号装置における暗号アルゴリズムや処理タイミング、秘密鍵等を推定する。通常、接触型ICカードやその他の暗号装置に対する電磁波解析では、暗号が実装されるCPUやLSI等のデバイス上に電磁波プローブをかざすことで、対象のデバイスから漏洩する電磁波が測定される。
【0005】
また、暗号機能が実装された暗号装置が本当に安全なのか確認するため、サイドチャネル攻撃に対する耐性を評価する技術が求められている。暗号装置の耐性評価のためには、暗号装置から発生するサイドチャネル情報を測定する必要がある。例えば、特許文献1には、このような耐性評価のためにサイドチャネル情報を測定するサイドチャネル情報測定装置が記載されている。この特許文献1に記載されたサイドチャネル情報測定装置は、サイドチャネル情報を精度よく測定するために、サイドチャネルを測定する際のサンプリングレートを暗号装置のクロック周波数の定数倍に設定する。暗号装置から発生するサイドチャネル情報は、暗号装置における暗号処理時のCPUによる演算やデータ書き込み等の要因と関連して変化する。そこで、このサイドチャネル情報測定装置は、暗号装置のクロック周波数の定数倍のサンプリングレートを設定してサイドチャネル情報を測定することにより、より精度よいサイドチャネル情報を取得することを可能としている。
【先行技術文献】
【非特許文献】
【0006】
【非特許文献1】C. Gebotys, A. Tiu, "EM Analysis of Rijndael and ECC on a Wireless Java(登録商標)-based PDA," CHES 2005, LNCS 3659, pp. 250-264, 2005.
【特許文献】
【0007】
【特許文献1】特開2010−273263号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかしながら、暗号装置から発生するサイドチャネル情報には、測定の時間帯によっては、暗復号処理に関連していない情報が主に含まれる箇所もある。非特許文献1に記載された技術を用いても、そのような箇所のサイドチャネル情報を処理範囲として秘密情報の解析を行った場合、秘密情報を解析できない場合がある。その場合、非特許文献1に記載された電磁波解析を用いて耐性評価を行う装置は、実際には耐性が低い場合であっても、耐性が高いと判定してしまう。また、特許文献1に記載されたものがサンプリングレートの適切な設定によって精度よくサイドチャネル情報を取得するためには、暗復号処理と関連している箇所のサイドチャネル情報を測定することが求められる。
【0009】
本発明は、上述の課題を解決するためになされたもので、暗号装置の暗復号処理との関連性がより高いサイドチャネル情報を測定することが可能なサイドチャネル情報測定装置を提供することを目的とする。
【課題を解決するための手段】
【0010】
本発明のサイドチャネル情報測定装置は、暗号装置から漏洩する漏洩情報を受信する漏洩情報受信部と、前記漏洩情報において前記暗号装置による暗復号処理の特徴を示す部分に基づいてトリガ信号を生成するトリガ生成部と、前記トリガ信号に基づいて、前記漏洩情報を測定する測定部と、を備える。
【0011】
また、本発明のサイドチャネル攻撃耐性評価システムは、上述のサイドチャネル情報測定装置と、前記サイドチャネル情報測定装置によって測定されたサイドチャネル情報に基づいて前記暗号装置のサイドチャネル攻撃耐性を評価する耐性評価装置と、を備える。
【0012】
また、本発明のサイドチャネル情報測定方法は、暗号装置から漏洩する漏洩情報を受信し、前記漏洩情報において前記暗号装置による暗復号処理の特徴を示す部分に基づいてトリガ信号を生成し、前記トリガ信号に基づいて、前記漏洩情報を測定する。
【0013】
また、本発明のコンピュータ・プログラムは、暗号装置から漏洩する漏洩情報を受信する漏洩情報受信ステップと、前記漏洩情報において前記暗号装置による暗復号処理の特徴を示す部分に基づいてトリガ信号を生成するトリガ生成ステップと、前記トリガ信号に基づいて、前記漏洩情報を測定する測定ステップと、をコンピュータ装置に実行させる。
【発明の効果】
【0014】
本発明は、暗号装置の暗復号処理との関連性がより高いサイドチャネル情報を測定することが可能なサイドチャネル情報測定装置を提供することができる。
【図面の簡単な説明】
【0015】
【図1】本発明の第1の実施の形態としてのサイドチャネル情報測定装置の構成を示すブロック図である。
【図2】本発明の第1の実施の形態としてのサイドチャネル情報測定装置の動作を説明するフローチャートである。
【図3】本発明の第2の実施の形態としてのサイドチャネル情報測定装置の構成を示すブロック図である。
【図4】本発明の第2の実施の形態としてのサイドチャネル情報測定装置の動作を説明するフローチャートである。
【図5】(a)および(b)は、本発明の第2の実施の形態において非接触型ICカードおよびICカードリーダライタ間で通信中の電磁波のパワースペクトルの一例を示す図である。
【図6】本発明の第2の実施の形態においてローパスフィルタを通過させた後の電磁波データの一例を示す図である。
【図7】本発明の第2の実施の形態においてローパスフィルタを通過させていない電磁波データの一例を示す図である。
【図8】本発明の第2の実施の形態としてのサイドチャネル情報測定装置の他の構成を示すブロック図である。
【図9】本発明の第2の実施の形態としてのサイドチャネル情報測定装置のさらに他の構成を示すブロック図である。
【図10】本発明の第3の実施の形態としてのサイドチャネル情報測定装置の構成を示すブロック図である。
【図11】本発明の第3の実施の形態としてのサイドチャネル情報測定装置の動作を説明するフローチャートである。
【発明を実施するための形態】
【0016】
以下、本発明の実施の形態について、図面を参照して詳細に説明する。
【0017】
(第1の実施の形態)
本発明の第1の実施の形態としてのサイドチャネル情報測定装置1の構成を図1に示す。
【0018】
図1において、サイドチャネル情報測定装置1は、漏洩情報受信部11と、トリガ生成部12と、測定部13とを備える。また、サイドチャネル情報測定装置1は、暗号装置8から漏洩するサイドチャネル情報(以下、漏洩情報ともいう)を測定するための装置である。また、サイドチャネル情報測定装置1は、測定した漏洩情報を、暗号装置8のサイドチャネル攻撃耐性を評価する耐性評価装置9に出力する。
【0019】
ここで、暗号装置8は、平文に対する暗号処理や、暗号文に対する復号処理を行う装置である。また、サイドチャネル情報測定装置1が暗号装置8から測定する漏洩情報としては、暗号装置8の内部処理に影響を受ける各種情報を適用可能である。例えば、サイドチャネル情報測定装置1は、暗号装置8から漏洩する電力、電磁波、音、温度等の情報を測定するものであってもよい。
【0020】
例えば、漏洩情報が電磁波である場合、サイドチャネル情報測定装置1は、暗号装置8近傍における電磁波を受信可能なアンテナ等の受信装置と、この電磁波を測定するオシロスコープやスペクトラムアナライザ等の測定装置と、これらの受信装置および測定装置を制御可能な制御装置によって構成されていてもよい。この場合、漏洩情報受信部11は受信装置によって構成され、トリガ生成部12は制御装置によって構成され、測定部13は、測定装置によって構成される。
【0021】
漏洩情報受信部11は、暗号装置8から発生する漏洩情報を取得する。
【0022】
トリガ生成部12は、漏洩情報受信部11によって受信された漏洩情報において暗号装置8による暗復号処理の特徴を示す部分に基づいて、トリガ信号を生成する。例えば、トリガ生成部12は、漏洩情報が、暗復号処理の特徴を示す所定の条件を満たすか否かを判定し、満たす場合にオンとなるトリガ信号を生成してもよい。そして、トリガ生成部12は、トリガ信号を測定部13に対して出力する。例えば、所定の条件とは、漏洩情報受信部11によって取得された漏洩情報が示す値と、あらかじめ定めておいた基準値との比較に基づく条件であってもよい。あるいは、所定の条件とは、そのような漏洩情報が示す値の変動幅と、あらかじめ定められた所定幅との比較に基づく条件であってもよい。あるいは、所定の条件とは、漏洩情報が示す波形と、あらかじめ定められた基準パターンとの相関値や距離、類似度に基づく条件であってもよい。
【0023】
また、トリガ生成部12は、漏洩情報が暗復号処理の特徴を示す所定の条件を満たしている間オンとなり、満たしていない間オフとなるトリガ信号を、測定部13に対して出力してもよい。あるいは、トリガ生成部12は、漏洩情報が所定の条件を満たすと判定した時点から所定期間オンとなるトリガ信号を測定部13に対して出力してもよい。
【0024】
測定部13は、トリガ生成部12から入力されるトリガ信号に基づいて、漏洩情報受信部11によって受信された漏洩情報を測定する。
【0025】
例えば、測定部13は、トリガ生成部12から入力されるトリガ信号がオンの間、測定を行うようにしてもよい。あるいは、測定部13は、オンを示すトリガ信号を取得後、所定時間経過してから測定を開始するようにしてもよい。あるいは、測定部13は、オンを示すトリガ信号を取得後、所定の測定期間の間、測定を行うようにしてもよい。
【0026】
以上のように構成されたサイドチャネル情報測定装置1の動作について、図2を参照して説明する。
【0027】
まず、漏洩情報受信部11は、暗号装置8に対して暗復号処理を開始する指示を示す信号を送出する(ステップS1)。そして、暗号装置8は暗復号処理を開始する。
【0028】
次に、漏洩情報受信部11は、暗号装置8から発生する漏洩情報を取得する(ステップS2)。
【0029】
次に、トリガ生成部12は、漏洩情報受信部11によって受信された漏洩情報が、暗復号処理に関連することを示す所定の条件を満たすか否かを判断する(ステップS3)。
【0030】
ここで、所定の条件を満たさない場合、サイドチャネル情報測定装置1は、ステップS2からの処理を再度実行する。
【0031】
一方、所定の条件を満たす場合、トリガ生成部12は、オンを示すトリガ信号を生成して測定部13へ出力する(ステップS4)。
【0032】
次に、測定部13は、トリガ信号を受信したタイミングを基準として、漏洩情報受信部11から送られてくる漏洩情報を測定するとともに格納する(ステップS5)。
【0033】
以上で、サイドチャネル情報測定装置1は動作を終了する。
【0034】
次に、本発明の第1の実施の形態の効果について述べる。
【0035】
本発明の第1の実施の形態としてのサイドチャネル情報測定装置は、暗号装置の暗復号処理との関連性がより高いサイドチャネル情報を測定することができる。
【0036】
その理由は、トリガ生成部が、暗号装置から発生する漏洩情報において暗号装置の暗復号処理の特徴を示す部分に基づいてトリガ信号を生成し、測定部が、トリガ信号に基づいて漏洩情報の測定を行うからである。これにより、暗復号処理との関連性が低い漏洩情報を測定する可能性を低くすることができる。したがって、本発明の第1の実施の形態としてのサイドチャネル情報測定装置は、本装置によって測定されたサイドチャネル情報を用いたサイドチャネル攻撃耐性評価の精度を向上させることができる。
【0037】
また、本発明の第1の実施の形態としてのサイドチャネル情報測定装置は、暗号装置から発生する漏洩情報のうち一部を測定および格納すればよい。したがって、本発明の第1の実施の形態としてのサイドチャネル情報測定装置は、格納するデータ量を削減するとともに、耐性評価装置の評価時間を短縮させることも可能である。
【0038】
(第2の実施の形態)
次に、本発明の第2の実施の形態について図面を参照して詳細に説明する。本実施の形態では、暗号機能が実装された非接触型ICカードからの漏洩情報を測定するサイドチャネル情報測定装置について説明する。なお、本実施の形態の説明において参照する各図面において、本発明の第1の実施の形態と同一の構成および同様に動作するステップには同一の符号を付して本実施の形態における詳細な説明を省略する。
【0039】
まず、本発明の第2の実施の形態としてのサイドチャネル情報測定装置2の構成を図3に示す。図3において、サイドチャネル情報測定装置2は、アンテナ部21と、トリガ生成部22と、測定部23とを備える。また、トリガ生成部22は、特徴抽出部24と、トリガ判定部25とを含む。ここで、アンテナ部21は、本発明の漏洩情報受信部の一実施形態を構成する。また、サイドチャネル情報測定装置2は、アンテナ部21と、評価対象の暗号装置とを、測定のために収納することが可能な対象保持部210を有していてもよい。
【0040】
この場合、対象保持部210は、アンテナ部21と共に、評価対象の非接触型ICカード81と、非接触型ICカード81と通信するICカードリーダライタ82とを収納可能となっていてもよい。さらに、対象保持部210は、非接触型ICカード81、ICカードリーダライタ82、およびアンテナ部21の保持位置を調整する機能を有していてもよい。なお、本発明のサイドチャネル情報測定装置は、必ずしも対象保持部を備えていなくてもよい。
【0041】
耐性評価対象の非接触型ICカード81は、例えば、暗復号機能を有するICチップを備えるものである。非接触型ICカード81は、ICカードリーダライタ82からコマンドを受信すると、コマンドに応じてICチップにおいて暗復号処理を実施する。ここで、ICチップで暗復号処理が実行されると、ICチップから電磁波(サイドチャネル情報)が漏洩する。この漏洩電磁波に対して、非特許文献1に記載されたような電磁波解析が実施されることで、暗復号処理で使われた秘密鍵を解読される場合がある。
【0042】
ICカードリーダライタ82は、電磁波を介して、非接触型ICカード81への電力伝送やクロック伝送、あるいはデータ伝送等を行う装置である。また、ICカードリーダライタ82は、外部の装置から受信するコマンドに応じて、非接触型ICカード81との通信を行い、該装置に応答を返す機能を有するものとする。
【0043】
アンテナ部21は、非接触型ICカード81が暗復号処理を実施する際にICチップから漏洩する電磁波を取得する。ただし、非接触型ICカード81とICカードリーダライタ82との通信に電磁波が用いられるため、アンテナ部21は、この通信用電磁波とICチップからの漏洩電磁波とを同時に取得することになる。
【0044】
測定部23は、アンテナ部21を介して、非接触型ICカード81から発生する電磁波を測定するとともに、測定したデータを格納する。測定部23は、トリガ生成部22からトリガ信号を受信したタイミングで測定を開始してもよい。あるいは、測定部23は、トリガ信号を受信した時点の数秒前あるいは数秒後といったタイミングで測定を開始してもよい。トリガ信号を受信した時点より前のタイミングで測定を開始する場合、測定部23は、アンテナ部21を介して受信する電磁波データを所定期間蓄積するようにしておき、トリガ信号を受信した時点から所定期間遡った時点のデータから測定および格納を開始するようにしてもよい。
【0045】
トリガ生成部22は、特徴抽出部24およびトリガ判定部25を用いて、アンテナ部21によって受信された電磁波に基づいて、非接触型ICカード81のICチップによって暗復号処理が実行されているタイミングを判断してトリガ信号を生成する。
【0046】
具体的には、特徴抽出部24は、アンテナ部21で得られた電磁波に対して、不要情報を分離する信号処理を施すことにより暗復号処理によって発生する電磁波の特徴を示す部分を抽出する。例えば、特徴抽出部24は、アンテナ部21で得られた電磁波から、非接触型ICカード81およびICカードリーダライタ82間の通信用電磁波の特徴を示す部分を分離する信号処理を行う。ここで、アンテナ部21で得られた電磁波から、暗復号処理によって発生する情報の特徴を示す部分を抽出する信号処理方法としては、ローパスフィルタ、ハイパスフィルタ、バンドパスフィルタ、あるいは、バンドエリミネイトフィルタ等の周波数フィルタを用いる方法や、ウェーブレットフィルタ等の時間周波数フィルタを用いる方法が挙げられる。また、その他、暗復号処理によって発生する情報の特徴を示す部分を抽出する信号処理方法としては、データ変換を利用する方法も挙げられる。データ変換を利用する方法としては、パワースペクトル等の周波数成分に変換する方法、ケプストラム解析のケフレンシー成分に変換する方法、短時間フーリエ変換やウェーブレット変換を利用する方法等が挙げられる。このように、アンテナ部21によって得られた電磁波を表すデータは、上記のフィルタリングまたはデータ変換が施されることにより、通信用電磁波によって隠されていた暗復号処理による漏洩電磁波の特徴が明確化される。そして、このように漏洩電磁波の特徴が明確化されたデータは、サイドチャネル情報測定開始のタイミングの発見を容易にするものとなる。
【0047】
トリガ判定部25は、特徴抽出部24から出力されるデータが、トリガを生成する所定の条件を満たしているか否かを判定する。そして、トリガ判定部25は、条件を満たしていた場合には、トリガ信号を生成して測定部23へ送信する。トリガ判定部25が生成するトリガ信号は、測定部23によって測定のタイミングを制御可能な信号であればよい。例えば、トリガ信号は、上述の所定の条件を満たすようになった時点で所定幅のパルスを単発で発生するパルス信号であってもよい。あるいは、トリガ信号は、上述の所定の条件を満たしている間は1または正の値を示し、それ以外の期間で0、あるいは負の値を示す矩形信号であってもよい。
【0048】
この所定の条件とは、特徴抽出後の電磁波データにおける電圧値や電力値の最大値、最小値、あるいは絶対値と、あらかじめ定めておいた基準値との比較に基づく条件であってもよい。あるいは、所定の条件とは、そのような電圧値や電力値の変動幅と、あらかじめ定められた所定幅との比較に基づく条件であってもよい。あるいは、所定の条件とは、あらかじめ定められた電磁波形の基準パターンと、取得された電磁波形との相関値や距離、類似度に基づく条件であってもよい。また、トリガ判定部25は、特徴抽出部24によって抽出された電磁波データのうち、所定の条件を満たすか否かを判定するデータの時間帯や帯域を、あらかじめ設定しておいてもよい。例えば、トリガ判定部25は、特徴抽出部24から出力されるデータに対する判定を所定期間の時間帯だけ行うようにしてもよい。あるいは、トリガ判定部25は、特徴抽出部24から出力されるデータのうち、所定の周波数帯においてのみ所定の条件を満たすか否かを判定するようにしてもよい。
【0049】
以上のように構成されたサイドチャネル情報測定装置2の動作について、図4を参照して説明する。
【0050】
まず、トリガ生成部22は、ICカードリーダライタ82に対して通信開始のコマンドを送信する(ステップS11)。これにより、ICカードリーダライタ82および非接触型ICカード81間で、電磁波を介して通信が行われる。この通信中に、非接触型ICカード81のICチップにて暗復号処理が実施される。
【0051】
次に、アンテナ部21は、非接触型ICカード81から発生する電磁波を取得する。そして、アンテナ部21は、取得した電磁波を表すデータを、測定部23およびトリガ生成部22へ送信する(ステップS12)。
【0052】
ここで、ICカードリーダライタ82および非接触型ICカード81間の通信中は、電力伝送、クロック伝送あるいはデータ伝送のために、ICカードリーダライタ82から通信用電磁波が発生している。そのため、このステップでアンテナ部21が取得する電磁波データには、ICチップから漏洩した電磁波と、ICカードリーダライタ82から発生する通信用電磁波が混在している。
【0053】
次に、特徴抽出部24は、電磁波を表すデータに含まれる暗復号処理に関する特徴の抽出を行う(ステップS13)。アンテナ部21から送られてきた電磁波データは、前述のように通信用電磁波が含まれているため、漏洩電磁波の測定タイミングを見つけ出すことが難しいデータとなっている。そのため、特徴抽出部24は、本ステップで、アンテナ部21から送られてきた電磁波データに対して、フィルタリングやデータ変換等の信号処理を施すことにより、含まれる通信用電磁波の影響を取り除き、暗復号処理に関する特徴の抽出を行う。ステップS13の詳細については後述する。
【0054】
次に、トリガ判定部25は、特徴抽出部24から出力されるデータが所定の条件を満たすか否かを判定する(ステップS14)。
【0055】
ここで、所定の条件を満たさない場合には、サイドチャネル情報測定装置2は、ステップS12からの処理を繰り返す。
【0056】
一方、所定の条件を満たす場合、トリガ判定部25は、トリガ信号を生成して測定部23へ送信する(ステップS15)。
【0057】
次に、測定部23は、トリガ信号を受信したタイミングを基準として、アンテナ部21から送られてくる電磁波を測定し、測定したデータを格納する(ステップS16)。このとき、測定部23は、あらかじめ定められた期間の間、測定を行ってもよい。あるいは、測定部23は、トリガ判定部25から受信するトリガ信号がオンを示す間測定を行い、オフを示すように変化したとき、測定を終了するようにしてもよい。
【0058】
以上で、サイドチャネル情報測定装置2は動作を終了する。
【0059】
次に、ステップS13における動作例の詳細について説明する。
【0060】
まず、ステップS13において、特徴抽出部24が周波数フィルタリング処理を行う動作例について説明する。
【0061】
この場合、特徴抽出部24は、アンテナ部21を介して取得した電磁波データに対して周波数フィルタリング処理を行う。周波数フィルタにおいては、通過帯域もしくは遮断帯域を設定する必要がある。例えば、特徴抽出部24は、ICカードリーダライタ82および非接触型ICカード81間の通信用電磁波のクロックを基準として通過帯域または遮断帯域を設定してもよい。例えば、特徴抽出部24は、ローパスフィルタを用いて、通信用電磁波のクロックより低い帯域を通過帯域としてもよい。あるいは、特徴抽出部24は、ハイパスフィルタを用いて、通信用電磁波のクロックより高い帯域を通過帯域としてもよい。あるいは、特徴抽出部24は、バンドパスフィルタを用いて、通信用電磁波のクロックおよびそのクロックの高調波を避ける帯域を通過帯域としてもよい。あるいは、特徴抽出部24は、バンドエリミネイトフィルタを用いて、通信用電磁波のクロックおよびそのクロックの高調波を遮断帯域としてもよい。このような設定に基づき周波数フィルタリングを行うことにより、特徴抽出部24は、アンテナ部21で取得された電磁波において、通信用電磁波の特徴を示す部分を取り除き、ICチップにおける暗復号処理に伴う電磁波の変化を明確化することができる。その結果、ステップS14におけるトリガ判定部25のトリガ生成タイミングの判定精度が向上する。
【0062】
次に、ステップS13において、特徴抽出部24がデータ変換処理を行う動作例について説明する。
【0063】
この場合、特徴抽出部24は、アンテナ部21を介して取得された電磁波データに対してデータ変換を行う。データ変換としては、フーリエ変換やパワースペクトル算出等の周波数成分への変換、短時間フーリエ変換やウェーブレット変換等の時間周波数成分への変換、ケプストラム解析によるケフレンシー成分への変換等が適用可能である。
【0064】
例えば、特徴抽出部24が周波数成分や時間周波数成分への変換を行う場合について説明する。アンテナ部21を介して取得された電磁波データは、時間成分では、通信用電磁波と漏洩電磁波との区別がつかない場合がある。このような場合に、通信用電磁波の周波数とICチップの動作周波数とが異なっていることを想定する。この場合、電磁波データは、周波数成分や時間周波数成分に変換されることにより、周波数軸上で、通信用電磁波およびICチップからの漏洩電磁波の各ピークが分離することになる。ここで、ICチップによる暗復号処理は、ICチップの動作周波数に依存する可能性が高いと考えられる。このため、ICチップからの漏洩電磁波のピークの出現タイミングに着目することで、暗復号処理をしているタイミングをとらえやすくなる。また、通信用電磁波の周波数およびICチップの動作周波数が一致していた場合であっても、暗復号処理時に発生する漏洩電磁波において、通信用電磁波の周波数とは異なる周波数帯に暗復号処理に起因するピークが出現することがある。そこで、特徴抽出部24は、アンテナ部21を介して取得された電磁波データを周波数成分または時間周波数成分へ変換することにより、通信用電磁波とは異なる周波数帯のピークを抽出する。これにより、ステップS14におけるトリガ判定部25のトリガ生成タイミングの判定精度が向上する。
【0065】
また、特徴抽出部24がケプストラム解析を行う場合について説明する。ケプストラム解析は、パワースペクトルが異なる2つの信号成分を分離可能な信号処理手法である。アンテナ部21を介して取得された電磁波データは、ケプストラム解析が施されることにより、通信用電磁波に起因する成分および暗復号処理に起因する成分に分離可能な場合がある。そこで、特徴抽出部24は、アンテナ部21を介して取得された電磁波データにケプストラム解析を施すことにより、暗復号処理に起因する特徴を抽出する。
【0066】
次に、以上のように動作するサイドチャネル情報測定装置2の動作の具体例について説明する。ここでは、非接触型ICカード81にDES(Data Encryption Standard)が実装され、秘密鍵があらかじめ設定されているものとする。また、アンテナ部21は、近傍の電磁波を測定可能な磁界プローブによって構成されているものとする。また、特徴抽出部24は、ローパスフィルタによって構成され、ローパスフィルタは、通信用電磁波の周波数よりも低い部分を通過帯域として設定されているものとする。また、測定部23は、オシロスコープによって構成されているものとする。
【0067】
また、本例では、図5に示すように、非接触型ICカード81およびICカードリーダライタ82の通信用電磁波の周波数と、非接触型ICカード81から暗復号処理時に漏洩する電磁波の周波数とが異なることがあらかじめわかっているものとする。図5(a)は、暗復号処理が行われないときの通信のパワースペクトルであり、(b)は、暗復号処理中の通信のパワースペクトルである。図5において、矢印のピークは通信用電磁波の周波数である。図5に示すように、この例では、通信用電磁波の周波数よりも低い帯域において、暗号処理有りと無しの場合とでパワースペクトルに違いが見られる。そのため、この例では、特徴抽出部24は、ローパスフィルタにより通信用電磁波より低い帯域を通過帯域としてフィルタリングする。これにより、磁界プローブによって取得される電磁波データから通信用電磁波が除去されるので、トリガ判定部25は、暗号処理時であるか否かを所定の条件に基づき判定することが可能となる。
【0068】
まず、トリガ生成部22は、ICカードリーダライタ82に対して、暗号処理実行のコマンドおよび平文データを送る(ステップS11)。
【0069】
これにより、非接触型ICカード81およびICカードリーダライタ82間で通信が行われる。具体的には、ICカードリーダライタ82は、暗号処理のコマンドおよび平文データを非接触型ICカード81へ送信する。コマンドを受信した非接触型ICカード81は、受け取った平文に対して暗号処理を実施する。
【0070】
並行して、磁界プローブ(アンテナ部21)は、非接触型ICカード81およびICカードリーダライタ82の近傍で、通信中の電磁波を測定する(ステップS12)。
【0071】
次に、特徴抽出部24は、磁界プローブ(アンテナ部21)で取得された電磁波データをローパスフィルタに通過させる(ステップS13)。ここで、ローパスフィルタを通過させた通信中の電磁波データを図6に示しておく。
【0072】
次に、トリガ判定部25は、ローパスフィルタを通過したデータに対して、トリガ発生の所定の条件を満たしているか否かを判定する(ステップS14)。
【0073】
そして、所定の条件を満たしていると判定した場合、トリガ判定部25は、オンを示すトリガ信号をオシロスコープ(測定部23)へ送信する(ステップS15)。
【0074】
次に、オンを示すトリガ信号を受信したオシロスコープ(測定部23)は、磁界プローブ(アンテナ部21)から送られてくる電磁波の測定を行い、測定したデータを格納する(ステップS16)。
【0075】
なお、比較のため、ローパスフィルタを通過させない電磁波データを図7に示す。図6および図7を比較すると、特徴抽出が行われない場合(図7)では、暗号処理時(例えば、時間帯T1の部分)の波形の変化はあまり見られない。一方、特徴抽出が行われる場合(図6)では、同じ暗号処理時(時間帯T1の部分)の波形の変化が明確となっている。したがって、特徴抽出部24による特徴抽出により、トリガ判定部25による測定タイミングの判定精度を向上させることが可能となっていることがわかる。
【0076】
次に、本発明の第2の実施の形態の効果について述べる。
【0077】
本発明の第2の実施の形態としてのサイドチャネル情報測定装置は、無線通信を行う暗号装置から、暗復号処理との関連性の高い漏洩電磁波を精度よく測定することができる。
【0078】
その理由は、特徴抽出部が、暗号装置近傍で測定可能な電磁波から通信用電磁波を分離することにより、暗号装置による暗復号処理の特徴を抽出し、特徴抽出部によって抽出された電磁波データが所定の条件を満たす場合に、トリガ判定部がトリガ信号を生成して測定部に送信するからである。ここで、暗号装置近傍で測定される電磁波をそのまま測定する装置は、暗復号処理との関連性が低い電磁波データを測定する場合がある。その場合、暗復号処理との関連性が低い電磁波データを用いて行われる暗号装置の耐性評価結果は信頼性の低いものとなってしまう。これに対して、本発明の第2の実施の形態としてのサイドチャネル情報測定装置は、暗号装置近傍で測定される電磁波から通信用電磁波の特徴を取り除いて暗復号処理の特徴を抽出し、抽出した電磁波データにおいて所定の条件を満たす場合に、暗号装置から発生する電磁波データを測定する。これにより、本発明の第2の実施の形態としてのサイドチャネル情報測定装置は、暗復号処理との関連性が高い箇所の電磁波データをサイドチャネル情報として測定可能となる。したがって、本発明の第2の実施の形態としてのサイドチャネル情報測定装置は、本装置により測定されたサイドチャネル情報を用いたサイドチャネル攻撃耐性評価の信頼性を向上させることができる。
【0079】
なお、本実施の形態において、トリガ生成部22および測定部23は、同一のアンテナ部21を介して非接触型ICカード81付近で発生する電磁波を取得しているが、トリガ生成部22および測定部23は、図8に示すように、異なるアンテナ21aおよび21bを介して、非接触型ICカード81から発生する電磁波をそれぞれ取得してもよい。また、図9に示すように、トリガ生成部22および測定部23は、同一の測定装置230内に配置されていてもよい。
【0080】
(第3の実施の形態)
次に、本発明の第3の実施の形態について図面を参照して詳細に説明する。本実施の形態としては、サイドチャネル攻撃の耐性評価を行う耐性評価装置と、本発明のサイドチャネル情報測定装置とを含むサイドチャネル攻撃耐性評価システムについて説明する。本実施の形態において、サイドチャネル情報測定装置は、耐性評価装置に接続されることにより、耐性評価装置からの情報に基づいてサイドチャネル情報を再測定する。なお、本実施の形態の説明において参照する各図面において、本発明の第1および第2の実施の形態と同一の構成および同様に動作するステップには同一の符号を付して本実施の形態における詳細な説明を省略する。
【0081】
まず、本発明の第3の実施の形態としてのサイドチャネル攻撃耐性評価システム30の構成を図10に示す。図10において、サイドチャネル攻撃耐性評価システム30は、サイドチャネル情報測定装置3と、耐性評価装置91とを含む。また、サイドチャネル情報測定装置3は、本発明の第2の実施の形態としてのサイドチャネル情報測定装置2に対して、トリガ生成部22に替えてトリガ生成部32を備える点が異なる。トリガ生成部32は、特徴抽出部34およびトリガ判定部35を有する。また、サイドチャネル情報測定装置3および耐性評価装置91は、互いに通信可能に接続される。なお、サイドチャネル情報測定装置3のトリガ生成部32と、耐性評価装置91とは、同一の制御装置によって構成されていてもよい。
【0082】
耐性評価装置91は、測定部23によって測定された電磁波データを用いて、非接触型ICカード81のサイドチャネル攻撃への耐性を評価する。ここで、耐性評価方法としては、サイドチャネル情報として得られた電磁波データに対してサイドチャネル攻撃を行い、攻撃が成功するか否かの判定を評価結果とする方法がある。あるいは、他の耐性評価方法としては、サイドチャネル情報として得られた電磁波データと基準波形との相関、距離または類似度に基づく評価を行う方法等がある。
【0083】
また、耐性評価装置91は、トリガ生成部32に対して、耐性評価結果をフィードバックする。フィードバックする情報は、例えば、耐性の有無、解析時のピークの出現箇所、ピークの値、基準波形との相関値、距離、類似度、または、解析に成功した部分鍵の数等であってもよい。
トリガ生成部32は、本発明の第2の実施の形態におけるトリガ生成部22と同様に構成されることに加えて、耐性評価装置91から耐性評価結果を表す情報を取得する。そして、トリガ生成部32は、耐性評価結果を表す情報に基づいて、特徴抽出部34およびトリガ判定部35の処理に関わる各種パラメータを調整する。特徴抽出部34およびトリガ判定部35は、本発明の第2の実施の形態における特徴抽出部24およびトリガ判定部25と同様に構成されることに加えて、各種パラメータが調整可能となっている。
【0084】
例えば、特徴抽出部34は、耐性評価結果に基づいて、周波数フィルタリングにおける通過帯域やフィルタの窓幅、窓の位置を調整してもよい。また、特徴抽出部34は、耐性評価結果に基づいて、データ変換において検出するピーク位置を調整してもよい。また、特徴抽出部34は、耐性評価結果に基づいて、周波数変換に用いる窓幅、窓の位置を調整してもよい。また、トリガ判定部35は、耐性評価結果に基づいて、トリガ生成の判定条件とする電力値や電圧値の閾値を調整してもよい。
【0085】
以上のように構成されたサイドチャネル情報測定装置3の動作について、図11を参照して説明する。
【0086】
まず、サイドチャネル情報測定装置3は、ステップS11〜S16まで本発明の第2の実施形態と同様に動作することにより、非接触型ICカード81からサイドチャネル情報を測定する。
【0087】
次に、測定部23は、耐性評価装置91に対してサイドチャネル情報を出力する。そして、耐性評価装置91は、非接触型ICカード81のサイドチャネル攻撃への耐性を評価する(ステップS31)。なお、耐性評価装置91において、例えば差分電磁波解析のように、複数の電磁波データを用いた耐性評価が行われる場合には、サイドチャネル情報測定装置3は、ステップS11〜S16までを必要な回数だけ実行後、ステップS31を実行すればよい。そして、トリガ生成部32は、耐性評価装置91から耐性評価結果を表す情報を取得する(ステップS32)。
【0088】
ここで、耐性評価結果が、あらかじめ設定された終了条件を満たす場合(ステップS32でYes)、サイドチャネル情報測定装置3は動作を終了する。
【0089】
一方、耐性評価結果が、あらかじめ設定された終了条件を満たさない場合(ステップS32でNo)、トリガ生成部32は、耐性評価結果に基づいてパラメータを調整する(ステップS33)。ステップS32〜S33の動作の詳細については後述する。
【0090】
次に、調整されたパラメータを用いて、サイドチャネル情報測定装置3は、ステップS11からの動作を再度実行してサイドチャネル情報の測定を行う。
【0091】
以上で、サイドチャネル情報測定装置3の動作の説明を終了する。
【0092】
次に、ステップS33〜S34におけるトリガ生成部32の動作の一例について詳細に説明する。
【0093】
例えば、耐性評価装置91が耐性有りと判定した場合でも、トリガ判定部35で用いる閾値が高すぎたために暗復号処理のタイミングでトリガ信号を生成できなかった可能性がある。そこで、トリガ生成部32は、耐性評価装置91から取得した耐性評価結果が耐性有りを表している場合、トリガ判定部35で用いる所定の条件としての(電圧値や電力値の)閾値を下げる。そして、サイドチャネル情報測定装置3は、調整された閾値を用いて再度トリガ信号を生成し、改めてサイドチャネル情報の測定を行う。そして、再度測定されたサイドチャネル情報を用いて、耐性評価装置91が耐性評価を行う。このようにして、測定および評価を繰返し、サイドチャネル情報測定装置3は、耐性評価装置91において耐性無しと判定された場合に、測定を終了してもよい。または、サイドチャネル情報測定装置3は、トリガ判定部35で用いる閾値が所定値より下がった場合に測定を終了してもよい。または、サイドチャネル情報測定装置3は、測定および評価を所定回数以上繰り返した場合に、測定を終了してもよい。
【0094】
また、例えば、耐性評価装置91が周波数領域上での攻撃を行い、攻撃の結果ある周波数にピークが出現したことを想定する。この場合、攻撃の結果出現するピークは暗復号処理の特徴を示していると考えられる。すなわち、その周波数帯域が暗復号処理に関連していると考えられる。そこで、トリガ生成部32は、耐性評価装置91から、評価(攻撃)の過程で抽出したピークの出現帯域を表す情報を耐性評価結果として取得し、取得した帯域を通過帯域として特徴抽出部34によるフィルタリングを行うようにしてもよい。この場合も、サイドチャネル情報測定装置3は、耐性無しと確認された場合や、ループ回数が閾値を上回った場合等を終了条件として、測定を終了すればよい。
【0095】
また、例えば、特徴抽出部34による周波数変換の結果得られるデータに、ピークが複数出現することがある。このとき、トリガ判定部35は、初回は、一番高いピークを示す帯域が所定の条件を満たすか否かに基づいてトリガ信号を生成するようにする。そして、耐性評価装置91からの耐性評価結果に基づいて(例えば、耐性有りと判定された場合)、トリガ判定部35は、前回の処理時の次に高いピークを示す帯域に基づいてトリガ信号を生成するようにしてもよい。この場合も、サイドチャネル情報測定装置3は、耐性無しと確認された場合や、ループ回数が閾値を上回った場合等を終了条件として、測定を終了すればよい。
【0096】
また、例えば、特徴抽出部34は、上述のようなピークの高さ順に関わらず、耐性評価結果が終了条件を満たすまで、低周波側または高周波側から順次トリガ判定の対象とする帯域をずらしていくようにしてもよい。
【0097】
次に、本発明の第3の実施の形態の効果について述べる。
【0098】
本発明の第3の実施の形態としてのサイドチャネル情報測定装置は、暗号装置の耐性評価の精度向上のためにより適したサイドチャネル情報を測定することを可能とする。
【0099】
その理由は、測定部が、測定したサイドチャネル情報を耐性評価装置に出力し、トリガ生成部が、耐性評価装置から耐性評価結果を表す情報を取得することにより、暗復号処理のタイミングの判定に用いる各種パラメータを調整するからである。
【0100】
なお、本発明の第2および第3の実施の形態として、非接触型ICカードのサイドチャネル情報を測定するサイドチャネル情報測定装置およびサイドチャネル攻撃耐性評価システムについて説明したが、各実施の形態は、非接触型ICカードに限らず、無線通信を行う暗号装置に対して適用可能である。
【0101】
また、上述した各実施の形態において、漏洩情報受信部によって受信された漏洩情報を測定部が測定するタイミングは、同じ漏洩情報に対するトリガ生成部の処理により生成されるトリガ信号に基づいて決定される。このとき、このトリガ生成部の処理時間は十分に小さいものとして各実施の形態の説明を行った。もし、トリガ生成部の処理時間による遅延が問題となる程度である場合、各実施の形態における測定部は、漏洩情報受信部によって受信された漏洩情報を内部に蓄積しておき、トリガ信号の受信に基づいて、遅延時間分遡った時点を基準として測定を行うようにしてもよい。
【0102】
また、上述した各実施の形態において、トリガ生成部は、CPUと、RAM(Random Access Memory)と、ROM(Read Only Memory)と、ハードディスク等の記憶装置と、外部機器接続インタフェースとを含むコンピュータ装置によって構成されていてもよい。この場合、CPUは、ROMまたは記憶装置に記憶されたコンピュータ・プログラムおよびデータをRAMに読み込んで実行することにより、コンピュータ装置を本発明のサイドチャネル情報測定装置として機能させる。また、外部機器接続インタフェースは、漏洩情報受信部および測定部にそれぞれ接続されることにより、各部との間で情報を送受信する。
【0103】
そして、この場合、上述した本発明の各実施の形態において、各フローチャートを参照して説明したサイドチャネル情報測定装置の動作を、本発明のコンピュータ・プログラムとしてコンピュータ装置の記憶装置(記憶媒体)に格納しておき、係るコンピュータ・プログラムを当該CPUが読み出して実行するようにしてもよい。そして、このような場合において、本発明は、係るコンピュータ・プログラムのコード或いは記憶媒体によって構成される。
【0104】
また、上述した各実施の形態は、適宜組み合わせて実施されることが可能である。
【0105】
また、本発明は、上述した各実施の形態に限定されず、様々な態様で実施されることが可能である。
【0106】
また、上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
暗号装置から漏洩する漏洩情報を受信する漏洩情報受信部と、
前記漏洩情報において前記暗号装置による暗復号処理の特徴を示す部分に基づいてトリガ信号を生成するトリガ生成部と、
前記トリガ信号に基づいて、前記漏洩情報を測定する測定部と、
を備えたサイドチャネル情報測定装置。
(付記2)
前記トリガ生成部は、
前記漏洩情報に対して不要な情報を分離するための信号処理を行うことにより前記暗復号処理の特徴を示す部分を抽出する特徴抽出部と、
前記特徴抽出部によって抽出された部分が所定の条件を満たす場合にオンとなるよう前記トリガ信号を生成するトリガ判定部と、
を有することを特徴とする付記1に記載のサイドチャネル情報測定装置。
(付記3)
前記暗号装置は、前記暗復号処理に伴い他の装置との間で無線通信を行う通信装置であり、
前記漏洩情報受信部は、前記暗号装置近傍で発生する電磁波を前記漏洩情報として受信し、
前記特徴抽出部は、前記暗号装置および前記他の装置間の通信用電磁波の特徴を前記漏洩情報から分離するための前記信号処理を行うことを特徴とする付記2に記載のサイドチャネル情報測定装置。
(付記4)
前記特徴抽出部は、前記信号処理として周波数フィルタによる処理を行うことを特徴とする付記3に記載のサイドチャネル情報測定装置。
(付記5)
前記特徴抽出部は、前記周波数フィルタにおいて、前記通信用電磁波の周波数帯を除く帯域を通過帯域とすることを特徴とする付記4に記載のサイドチャネル情報測定装置。
(付記6)
前記特徴抽出部は、前記信号処理としてデータ変換処理を行うことを特徴とする付記3に記載のサイドチャネル情報測定装置。
(付記7)
前記特徴抽出部は、前記漏洩情報を周波数成分へデータ変換することを特徴とする付記6に記載のサイドチャネル情報測定装置。
(付記8)
前記特徴抽出部は、前記漏洩情報を時間周波数成分へデータ変換することを特徴とする付記6に記載のサイドチャネル情報測定装置。
(付記9)
前記特徴抽出部は、前記漏洩情報をケフレンシー成分へデータ変換することを特徴とする付記6に記載のサイドチャネル情報測定装置。
(付記10)
前記トリガ判定部は、前記通信用電磁波の周波数帯を除く周波数帯に着目して前記所定の条件を判定することを特徴とする付記7から付記9のいずれかに記載のサイドチャネル情報測定装置。
(付記11)
前記トリガ生成部は、前記測定部によって測定されたサイドチャネル情報に基づいて前記暗号装置のサイドチャネル攻撃耐性を評価する耐性評価装置から、評価結果を表す情報を取得し、取得した情報に基づいて、前記特徴抽出部および前記トリガ判定部における処理のパラメータを調整して前記トリガ信号を生成することを特徴とする付記2から付記10のいずれかに記載のサイドチャネル情報測定装置。
(付記12)
付記1から付記11のいずれか1つに記載のサイドチャネル情報測定装置と、
前記サイドチャネル情報測定装置によって測定されたサイドチャネル情報に基づいて前記暗号装置のサイドチャネル攻撃耐性を評価する耐性評価装置と、
を備えたサイドチャネル攻撃耐性評価システム。
(付記13)
前記サイドチャネル情報測定装置が付記11に記載されたものであるとき、
前記耐性評価装置は、前記評価結果を表す情報を前記サイドチャネル情報測定装置に送信することを特徴とする付記12に記載のサイドチャネル攻撃耐性評価システム。
(付記14)
暗号装置から漏洩する漏洩情報を受信し、
前記漏洩情報において前記暗号装置による暗復号処理の特徴を示す部分に基づいてトリガ信号を生成し、
前記トリガ信号に基づいて、前記漏洩情報を測定する、サイドチャネル情報測定方法。
(付記15)
受信した前記漏洩情報に対して不要な情報を分離するための信号処理を行い、
信号処理済の情報が所定の条件を満たす場合にオンとなるよう前記トリガ信号を生成することを特徴とする付記14に記載のサイドチャネル情報測定方法。
(付記16)
暗号装置から漏洩する漏洩情報を受信する漏洩情報受信ステップと、
前記漏洩情報において前記暗号装置による暗復号処理の特徴を示す部分に基づいてトリガ信号を生成するトリガ生成ステップと、
前記トリガ信号に基づいて、前記漏洩情報を測定する測定ステップと、
をコンピュータ装置に実行させるコンピュータ・プログラム。
(付記17)
前記トリガ生成ステップで、
前記漏洩情報に対して不要な情報を分離するための信号処理を行うことにより前記暗復号処理の特徴を示す部分を抽出する特徴抽出ステップと、
前記特徴抽出ステップで抽出された部分が所定の条件を満たす場合にオンとなるよう前記トリガ信号を生成するトリガ判定ステップと、
を前記コンピュータ装置に実行させることを特徴とする付記16に記載のコンピュータ・プログラム。
【符号の説明】
【0107】
1、2、3 サイドチャネル情報測定装置
8 暗号装置
9、91 耐性評価装置
11 漏洩情報受信部
12、22、32 トリガ生成部
13、23 測定部
21 アンテナ部
24、34 特徴抽出部
25、35 トリガ判定部
30 サイドチャネル攻撃耐性評価システム
81 非接触型ICカード
82 ICカードリーダライタ
210 対象保持部
【技術分野】
【0001】
本発明は、サイドチャネル情報を測定する技術に関する。
【背景技術】
【0002】
情報の電子データ化が進む中で、情報を保護するための秘匿な通信において、暗号はかかせない技術となっている。暗号は、その安全性を保つために、鍵等の秘匿情報が容易に推測できないようにする必要がある。暗号解読方法としては、鍵の全数探索、線形解読、あるいは、差分解読等といった手法が知られているが、現実的な時間での解読は不可能とされている。
【0003】
その一方で、携帯端末等の暗号機能を実装した装置(以下、単に暗号装置ともいう)において、攻撃者が処理時間や消費電力等のサイドチャネル情報を精密に測定できるとの仮定の下で、サイドチャネル情報から秘匿情報の取得を試みるサイドチャネル攻撃とその対策が大きな研究テーマとなっている。
【0004】
非特許文献1には、暗号機能付きの接触型IC(Integrated Circuit)カードや携帯端末等の暗号装置において、暗号処理中に装置から発生する漏洩電磁波を測定することで秘密情報の解析を行う電磁波解析が示されている。この電磁波解析は、暗号装置内のCPU(Central Processing Unit)やLSI(Large Scale Integration)等において実行される処理命令やオペランドにより変化する電流に依存して発生する電磁波を、入出力の異なる1つ以上の処理に対して測定し解析する。これにより、この電磁波解析は、暗号装置における暗号アルゴリズムや処理タイミング、秘密鍵等を推定する。通常、接触型ICカードやその他の暗号装置に対する電磁波解析では、暗号が実装されるCPUやLSI等のデバイス上に電磁波プローブをかざすことで、対象のデバイスから漏洩する電磁波が測定される。
【0005】
また、暗号機能が実装された暗号装置が本当に安全なのか確認するため、サイドチャネル攻撃に対する耐性を評価する技術が求められている。暗号装置の耐性評価のためには、暗号装置から発生するサイドチャネル情報を測定する必要がある。例えば、特許文献1には、このような耐性評価のためにサイドチャネル情報を測定するサイドチャネル情報測定装置が記載されている。この特許文献1に記載されたサイドチャネル情報測定装置は、サイドチャネル情報を精度よく測定するために、サイドチャネルを測定する際のサンプリングレートを暗号装置のクロック周波数の定数倍に設定する。暗号装置から発生するサイドチャネル情報は、暗号装置における暗号処理時のCPUによる演算やデータ書き込み等の要因と関連して変化する。そこで、このサイドチャネル情報測定装置は、暗号装置のクロック周波数の定数倍のサンプリングレートを設定してサイドチャネル情報を測定することにより、より精度よいサイドチャネル情報を取得することを可能としている。
【先行技術文献】
【非特許文献】
【0006】
【非特許文献1】C. Gebotys, A. Tiu, "EM Analysis of Rijndael and ECC on a Wireless Java(登録商標)-based PDA," CHES 2005, LNCS 3659, pp. 250-264, 2005.
【特許文献】
【0007】
【特許文献1】特開2010−273263号公報
【発明の概要】
【発明が解決しようとする課題】
【0008】
しかしながら、暗号装置から発生するサイドチャネル情報には、測定の時間帯によっては、暗復号処理に関連していない情報が主に含まれる箇所もある。非特許文献1に記載された技術を用いても、そのような箇所のサイドチャネル情報を処理範囲として秘密情報の解析を行った場合、秘密情報を解析できない場合がある。その場合、非特許文献1に記載された電磁波解析を用いて耐性評価を行う装置は、実際には耐性が低い場合であっても、耐性が高いと判定してしまう。また、特許文献1に記載されたものがサンプリングレートの適切な設定によって精度よくサイドチャネル情報を取得するためには、暗復号処理と関連している箇所のサイドチャネル情報を測定することが求められる。
【0009】
本発明は、上述の課題を解決するためになされたもので、暗号装置の暗復号処理との関連性がより高いサイドチャネル情報を測定することが可能なサイドチャネル情報測定装置を提供することを目的とする。
【課題を解決するための手段】
【0010】
本発明のサイドチャネル情報測定装置は、暗号装置から漏洩する漏洩情報を受信する漏洩情報受信部と、前記漏洩情報において前記暗号装置による暗復号処理の特徴を示す部分に基づいてトリガ信号を生成するトリガ生成部と、前記トリガ信号に基づいて、前記漏洩情報を測定する測定部と、を備える。
【0011】
また、本発明のサイドチャネル攻撃耐性評価システムは、上述のサイドチャネル情報測定装置と、前記サイドチャネル情報測定装置によって測定されたサイドチャネル情報に基づいて前記暗号装置のサイドチャネル攻撃耐性を評価する耐性評価装置と、を備える。
【0012】
また、本発明のサイドチャネル情報測定方法は、暗号装置から漏洩する漏洩情報を受信し、前記漏洩情報において前記暗号装置による暗復号処理の特徴を示す部分に基づいてトリガ信号を生成し、前記トリガ信号に基づいて、前記漏洩情報を測定する。
【0013】
また、本発明のコンピュータ・プログラムは、暗号装置から漏洩する漏洩情報を受信する漏洩情報受信ステップと、前記漏洩情報において前記暗号装置による暗復号処理の特徴を示す部分に基づいてトリガ信号を生成するトリガ生成ステップと、前記トリガ信号に基づいて、前記漏洩情報を測定する測定ステップと、をコンピュータ装置に実行させる。
【発明の効果】
【0014】
本発明は、暗号装置の暗復号処理との関連性がより高いサイドチャネル情報を測定することが可能なサイドチャネル情報測定装置を提供することができる。
【図面の簡単な説明】
【0015】
【図1】本発明の第1の実施の形態としてのサイドチャネル情報測定装置の構成を示すブロック図である。
【図2】本発明の第1の実施の形態としてのサイドチャネル情報測定装置の動作を説明するフローチャートである。
【図3】本発明の第2の実施の形態としてのサイドチャネル情報測定装置の構成を示すブロック図である。
【図4】本発明の第2の実施の形態としてのサイドチャネル情報測定装置の動作を説明するフローチャートである。
【図5】(a)および(b)は、本発明の第2の実施の形態において非接触型ICカードおよびICカードリーダライタ間で通信中の電磁波のパワースペクトルの一例を示す図である。
【図6】本発明の第2の実施の形態においてローパスフィルタを通過させた後の電磁波データの一例を示す図である。
【図7】本発明の第2の実施の形態においてローパスフィルタを通過させていない電磁波データの一例を示す図である。
【図8】本発明の第2の実施の形態としてのサイドチャネル情報測定装置の他の構成を示すブロック図である。
【図9】本発明の第2の実施の形態としてのサイドチャネル情報測定装置のさらに他の構成を示すブロック図である。
【図10】本発明の第3の実施の形態としてのサイドチャネル情報測定装置の構成を示すブロック図である。
【図11】本発明の第3の実施の形態としてのサイドチャネル情報測定装置の動作を説明するフローチャートである。
【発明を実施するための形態】
【0016】
以下、本発明の実施の形態について、図面を参照して詳細に説明する。
【0017】
(第1の実施の形態)
本発明の第1の実施の形態としてのサイドチャネル情報測定装置1の構成を図1に示す。
【0018】
図1において、サイドチャネル情報測定装置1は、漏洩情報受信部11と、トリガ生成部12と、測定部13とを備える。また、サイドチャネル情報測定装置1は、暗号装置8から漏洩するサイドチャネル情報(以下、漏洩情報ともいう)を測定するための装置である。また、サイドチャネル情報測定装置1は、測定した漏洩情報を、暗号装置8のサイドチャネル攻撃耐性を評価する耐性評価装置9に出力する。
【0019】
ここで、暗号装置8は、平文に対する暗号処理や、暗号文に対する復号処理を行う装置である。また、サイドチャネル情報測定装置1が暗号装置8から測定する漏洩情報としては、暗号装置8の内部処理に影響を受ける各種情報を適用可能である。例えば、サイドチャネル情報測定装置1は、暗号装置8から漏洩する電力、電磁波、音、温度等の情報を測定するものであってもよい。
【0020】
例えば、漏洩情報が電磁波である場合、サイドチャネル情報測定装置1は、暗号装置8近傍における電磁波を受信可能なアンテナ等の受信装置と、この電磁波を測定するオシロスコープやスペクトラムアナライザ等の測定装置と、これらの受信装置および測定装置を制御可能な制御装置によって構成されていてもよい。この場合、漏洩情報受信部11は受信装置によって構成され、トリガ生成部12は制御装置によって構成され、測定部13は、測定装置によって構成される。
【0021】
漏洩情報受信部11は、暗号装置8から発生する漏洩情報を取得する。
【0022】
トリガ生成部12は、漏洩情報受信部11によって受信された漏洩情報において暗号装置8による暗復号処理の特徴を示す部分に基づいて、トリガ信号を生成する。例えば、トリガ生成部12は、漏洩情報が、暗復号処理の特徴を示す所定の条件を満たすか否かを判定し、満たす場合にオンとなるトリガ信号を生成してもよい。そして、トリガ生成部12は、トリガ信号を測定部13に対して出力する。例えば、所定の条件とは、漏洩情報受信部11によって取得された漏洩情報が示す値と、あらかじめ定めておいた基準値との比較に基づく条件であってもよい。あるいは、所定の条件とは、そのような漏洩情報が示す値の変動幅と、あらかじめ定められた所定幅との比較に基づく条件であってもよい。あるいは、所定の条件とは、漏洩情報が示す波形と、あらかじめ定められた基準パターンとの相関値や距離、類似度に基づく条件であってもよい。
【0023】
また、トリガ生成部12は、漏洩情報が暗復号処理の特徴を示す所定の条件を満たしている間オンとなり、満たしていない間オフとなるトリガ信号を、測定部13に対して出力してもよい。あるいは、トリガ生成部12は、漏洩情報が所定の条件を満たすと判定した時点から所定期間オンとなるトリガ信号を測定部13に対して出力してもよい。
【0024】
測定部13は、トリガ生成部12から入力されるトリガ信号に基づいて、漏洩情報受信部11によって受信された漏洩情報を測定する。
【0025】
例えば、測定部13は、トリガ生成部12から入力されるトリガ信号がオンの間、測定を行うようにしてもよい。あるいは、測定部13は、オンを示すトリガ信号を取得後、所定時間経過してから測定を開始するようにしてもよい。あるいは、測定部13は、オンを示すトリガ信号を取得後、所定の測定期間の間、測定を行うようにしてもよい。
【0026】
以上のように構成されたサイドチャネル情報測定装置1の動作について、図2を参照して説明する。
【0027】
まず、漏洩情報受信部11は、暗号装置8に対して暗復号処理を開始する指示を示す信号を送出する(ステップS1)。そして、暗号装置8は暗復号処理を開始する。
【0028】
次に、漏洩情報受信部11は、暗号装置8から発生する漏洩情報を取得する(ステップS2)。
【0029】
次に、トリガ生成部12は、漏洩情報受信部11によって受信された漏洩情報が、暗復号処理に関連することを示す所定の条件を満たすか否かを判断する(ステップS3)。
【0030】
ここで、所定の条件を満たさない場合、サイドチャネル情報測定装置1は、ステップS2からの処理を再度実行する。
【0031】
一方、所定の条件を満たす場合、トリガ生成部12は、オンを示すトリガ信号を生成して測定部13へ出力する(ステップS4)。
【0032】
次に、測定部13は、トリガ信号を受信したタイミングを基準として、漏洩情報受信部11から送られてくる漏洩情報を測定するとともに格納する(ステップS5)。
【0033】
以上で、サイドチャネル情報測定装置1は動作を終了する。
【0034】
次に、本発明の第1の実施の形態の効果について述べる。
【0035】
本発明の第1の実施の形態としてのサイドチャネル情報測定装置は、暗号装置の暗復号処理との関連性がより高いサイドチャネル情報を測定することができる。
【0036】
その理由は、トリガ生成部が、暗号装置から発生する漏洩情報において暗号装置の暗復号処理の特徴を示す部分に基づいてトリガ信号を生成し、測定部が、トリガ信号に基づいて漏洩情報の測定を行うからである。これにより、暗復号処理との関連性が低い漏洩情報を測定する可能性を低くすることができる。したがって、本発明の第1の実施の形態としてのサイドチャネル情報測定装置は、本装置によって測定されたサイドチャネル情報を用いたサイドチャネル攻撃耐性評価の精度を向上させることができる。
【0037】
また、本発明の第1の実施の形態としてのサイドチャネル情報測定装置は、暗号装置から発生する漏洩情報のうち一部を測定および格納すればよい。したがって、本発明の第1の実施の形態としてのサイドチャネル情報測定装置は、格納するデータ量を削減するとともに、耐性評価装置の評価時間を短縮させることも可能である。
【0038】
(第2の実施の形態)
次に、本発明の第2の実施の形態について図面を参照して詳細に説明する。本実施の形態では、暗号機能が実装された非接触型ICカードからの漏洩情報を測定するサイドチャネル情報測定装置について説明する。なお、本実施の形態の説明において参照する各図面において、本発明の第1の実施の形態と同一の構成および同様に動作するステップには同一の符号を付して本実施の形態における詳細な説明を省略する。
【0039】
まず、本発明の第2の実施の形態としてのサイドチャネル情報測定装置2の構成を図3に示す。図3において、サイドチャネル情報測定装置2は、アンテナ部21と、トリガ生成部22と、測定部23とを備える。また、トリガ生成部22は、特徴抽出部24と、トリガ判定部25とを含む。ここで、アンテナ部21は、本発明の漏洩情報受信部の一実施形態を構成する。また、サイドチャネル情報測定装置2は、アンテナ部21と、評価対象の暗号装置とを、測定のために収納することが可能な対象保持部210を有していてもよい。
【0040】
この場合、対象保持部210は、アンテナ部21と共に、評価対象の非接触型ICカード81と、非接触型ICカード81と通信するICカードリーダライタ82とを収納可能となっていてもよい。さらに、対象保持部210は、非接触型ICカード81、ICカードリーダライタ82、およびアンテナ部21の保持位置を調整する機能を有していてもよい。なお、本発明のサイドチャネル情報測定装置は、必ずしも対象保持部を備えていなくてもよい。
【0041】
耐性評価対象の非接触型ICカード81は、例えば、暗復号機能を有するICチップを備えるものである。非接触型ICカード81は、ICカードリーダライタ82からコマンドを受信すると、コマンドに応じてICチップにおいて暗復号処理を実施する。ここで、ICチップで暗復号処理が実行されると、ICチップから電磁波(サイドチャネル情報)が漏洩する。この漏洩電磁波に対して、非特許文献1に記載されたような電磁波解析が実施されることで、暗復号処理で使われた秘密鍵を解読される場合がある。
【0042】
ICカードリーダライタ82は、電磁波を介して、非接触型ICカード81への電力伝送やクロック伝送、あるいはデータ伝送等を行う装置である。また、ICカードリーダライタ82は、外部の装置から受信するコマンドに応じて、非接触型ICカード81との通信を行い、該装置に応答を返す機能を有するものとする。
【0043】
アンテナ部21は、非接触型ICカード81が暗復号処理を実施する際にICチップから漏洩する電磁波を取得する。ただし、非接触型ICカード81とICカードリーダライタ82との通信に電磁波が用いられるため、アンテナ部21は、この通信用電磁波とICチップからの漏洩電磁波とを同時に取得することになる。
【0044】
測定部23は、アンテナ部21を介して、非接触型ICカード81から発生する電磁波を測定するとともに、測定したデータを格納する。測定部23は、トリガ生成部22からトリガ信号を受信したタイミングで測定を開始してもよい。あるいは、測定部23は、トリガ信号を受信した時点の数秒前あるいは数秒後といったタイミングで測定を開始してもよい。トリガ信号を受信した時点より前のタイミングで測定を開始する場合、測定部23は、アンテナ部21を介して受信する電磁波データを所定期間蓄積するようにしておき、トリガ信号を受信した時点から所定期間遡った時点のデータから測定および格納を開始するようにしてもよい。
【0045】
トリガ生成部22は、特徴抽出部24およびトリガ判定部25を用いて、アンテナ部21によって受信された電磁波に基づいて、非接触型ICカード81のICチップによって暗復号処理が実行されているタイミングを判断してトリガ信号を生成する。
【0046】
具体的には、特徴抽出部24は、アンテナ部21で得られた電磁波に対して、不要情報を分離する信号処理を施すことにより暗復号処理によって発生する電磁波の特徴を示す部分を抽出する。例えば、特徴抽出部24は、アンテナ部21で得られた電磁波から、非接触型ICカード81およびICカードリーダライタ82間の通信用電磁波の特徴を示す部分を分離する信号処理を行う。ここで、アンテナ部21で得られた電磁波から、暗復号処理によって発生する情報の特徴を示す部分を抽出する信号処理方法としては、ローパスフィルタ、ハイパスフィルタ、バンドパスフィルタ、あるいは、バンドエリミネイトフィルタ等の周波数フィルタを用いる方法や、ウェーブレットフィルタ等の時間周波数フィルタを用いる方法が挙げられる。また、その他、暗復号処理によって発生する情報の特徴を示す部分を抽出する信号処理方法としては、データ変換を利用する方法も挙げられる。データ変換を利用する方法としては、パワースペクトル等の周波数成分に変換する方法、ケプストラム解析のケフレンシー成分に変換する方法、短時間フーリエ変換やウェーブレット変換を利用する方法等が挙げられる。このように、アンテナ部21によって得られた電磁波を表すデータは、上記のフィルタリングまたはデータ変換が施されることにより、通信用電磁波によって隠されていた暗復号処理による漏洩電磁波の特徴が明確化される。そして、このように漏洩電磁波の特徴が明確化されたデータは、サイドチャネル情報測定開始のタイミングの発見を容易にするものとなる。
【0047】
トリガ判定部25は、特徴抽出部24から出力されるデータが、トリガを生成する所定の条件を満たしているか否かを判定する。そして、トリガ判定部25は、条件を満たしていた場合には、トリガ信号を生成して測定部23へ送信する。トリガ判定部25が生成するトリガ信号は、測定部23によって測定のタイミングを制御可能な信号であればよい。例えば、トリガ信号は、上述の所定の条件を満たすようになった時点で所定幅のパルスを単発で発生するパルス信号であってもよい。あるいは、トリガ信号は、上述の所定の条件を満たしている間は1または正の値を示し、それ以外の期間で0、あるいは負の値を示す矩形信号であってもよい。
【0048】
この所定の条件とは、特徴抽出後の電磁波データにおける電圧値や電力値の最大値、最小値、あるいは絶対値と、あらかじめ定めておいた基準値との比較に基づく条件であってもよい。あるいは、所定の条件とは、そのような電圧値や電力値の変動幅と、あらかじめ定められた所定幅との比較に基づく条件であってもよい。あるいは、所定の条件とは、あらかじめ定められた電磁波形の基準パターンと、取得された電磁波形との相関値や距離、類似度に基づく条件であってもよい。また、トリガ判定部25は、特徴抽出部24によって抽出された電磁波データのうち、所定の条件を満たすか否かを判定するデータの時間帯や帯域を、あらかじめ設定しておいてもよい。例えば、トリガ判定部25は、特徴抽出部24から出力されるデータに対する判定を所定期間の時間帯だけ行うようにしてもよい。あるいは、トリガ判定部25は、特徴抽出部24から出力されるデータのうち、所定の周波数帯においてのみ所定の条件を満たすか否かを判定するようにしてもよい。
【0049】
以上のように構成されたサイドチャネル情報測定装置2の動作について、図4を参照して説明する。
【0050】
まず、トリガ生成部22は、ICカードリーダライタ82に対して通信開始のコマンドを送信する(ステップS11)。これにより、ICカードリーダライタ82および非接触型ICカード81間で、電磁波を介して通信が行われる。この通信中に、非接触型ICカード81のICチップにて暗復号処理が実施される。
【0051】
次に、アンテナ部21は、非接触型ICカード81から発生する電磁波を取得する。そして、アンテナ部21は、取得した電磁波を表すデータを、測定部23およびトリガ生成部22へ送信する(ステップS12)。
【0052】
ここで、ICカードリーダライタ82および非接触型ICカード81間の通信中は、電力伝送、クロック伝送あるいはデータ伝送のために、ICカードリーダライタ82から通信用電磁波が発生している。そのため、このステップでアンテナ部21が取得する電磁波データには、ICチップから漏洩した電磁波と、ICカードリーダライタ82から発生する通信用電磁波が混在している。
【0053】
次に、特徴抽出部24は、電磁波を表すデータに含まれる暗復号処理に関する特徴の抽出を行う(ステップS13)。アンテナ部21から送られてきた電磁波データは、前述のように通信用電磁波が含まれているため、漏洩電磁波の測定タイミングを見つけ出すことが難しいデータとなっている。そのため、特徴抽出部24は、本ステップで、アンテナ部21から送られてきた電磁波データに対して、フィルタリングやデータ変換等の信号処理を施すことにより、含まれる通信用電磁波の影響を取り除き、暗復号処理に関する特徴の抽出を行う。ステップS13の詳細については後述する。
【0054】
次に、トリガ判定部25は、特徴抽出部24から出力されるデータが所定の条件を満たすか否かを判定する(ステップS14)。
【0055】
ここで、所定の条件を満たさない場合には、サイドチャネル情報測定装置2は、ステップS12からの処理を繰り返す。
【0056】
一方、所定の条件を満たす場合、トリガ判定部25は、トリガ信号を生成して測定部23へ送信する(ステップS15)。
【0057】
次に、測定部23は、トリガ信号を受信したタイミングを基準として、アンテナ部21から送られてくる電磁波を測定し、測定したデータを格納する(ステップS16)。このとき、測定部23は、あらかじめ定められた期間の間、測定を行ってもよい。あるいは、測定部23は、トリガ判定部25から受信するトリガ信号がオンを示す間測定を行い、オフを示すように変化したとき、測定を終了するようにしてもよい。
【0058】
以上で、サイドチャネル情報測定装置2は動作を終了する。
【0059】
次に、ステップS13における動作例の詳細について説明する。
【0060】
まず、ステップS13において、特徴抽出部24が周波数フィルタリング処理を行う動作例について説明する。
【0061】
この場合、特徴抽出部24は、アンテナ部21を介して取得した電磁波データに対して周波数フィルタリング処理を行う。周波数フィルタにおいては、通過帯域もしくは遮断帯域を設定する必要がある。例えば、特徴抽出部24は、ICカードリーダライタ82および非接触型ICカード81間の通信用電磁波のクロックを基準として通過帯域または遮断帯域を設定してもよい。例えば、特徴抽出部24は、ローパスフィルタを用いて、通信用電磁波のクロックより低い帯域を通過帯域としてもよい。あるいは、特徴抽出部24は、ハイパスフィルタを用いて、通信用電磁波のクロックより高い帯域を通過帯域としてもよい。あるいは、特徴抽出部24は、バンドパスフィルタを用いて、通信用電磁波のクロックおよびそのクロックの高調波を避ける帯域を通過帯域としてもよい。あるいは、特徴抽出部24は、バンドエリミネイトフィルタを用いて、通信用電磁波のクロックおよびそのクロックの高調波を遮断帯域としてもよい。このような設定に基づき周波数フィルタリングを行うことにより、特徴抽出部24は、アンテナ部21で取得された電磁波において、通信用電磁波の特徴を示す部分を取り除き、ICチップにおける暗復号処理に伴う電磁波の変化を明確化することができる。その結果、ステップS14におけるトリガ判定部25のトリガ生成タイミングの判定精度が向上する。
【0062】
次に、ステップS13において、特徴抽出部24がデータ変換処理を行う動作例について説明する。
【0063】
この場合、特徴抽出部24は、アンテナ部21を介して取得された電磁波データに対してデータ変換を行う。データ変換としては、フーリエ変換やパワースペクトル算出等の周波数成分への変換、短時間フーリエ変換やウェーブレット変換等の時間周波数成分への変換、ケプストラム解析によるケフレンシー成分への変換等が適用可能である。
【0064】
例えば、特徴抽出部24が周波数成分や時間周波数成分への変換を行う場合について説明する。アンテナ部21を介して取得された電磁波データは、時間成分では、通信用電磁波と漏洩電磁波との区別がつかない場合がある。このような場合に、通信用電磁波の周波数とICチップの動作周波数とが異なっていることを想定する。この場合、電磁波データは、周波数成分や時間周波数成分に変換されることにより、周波数軸上で、通信用電磁波およびICチップからの漏洩電磁波の各ピークが分離することになる。ここで、ICチップによる暗復号処理は、ICチップの動作周波数に依存する可能性が高いと考えられる。このため、ICチップからの漏洩電磁波のピークの出現タイミングに着目することで、暗復号処理をしているタイミングをとらえやすくなる。また、通信用電磁波の周波数およびICチップの動作周波数が一致していた場合であっても、暗復号処理時に発生する漏洩電磁波において、通信用電磁波の周波数とは異なる周波数帯に暗復号処理に起因するピークが出現することがある。そこで、特徴抽出部24は、アンテナ部21を介して取得された電磁波データを周波数成分または時間周波数成分へ変換することにより、通信用電磁波とは異なる周波数帯のピークを抽出する。これにより、ステップS14におけるトリガ判定部25のトリガ生成タイミングの判定精度が向上する。
【0065】
また、特徴抽出部24がケプストラム解析を行う場合について説明する。ケプストラム解析は、パワースペクトルが異なる2つの信号成分を分離可能な信号処理手法である。アンテナ部21を介して取得された電磁波データは、ケプストラム解析が施されることにより、通信用電磁波に起因する成分および暗復号処理に起因する成分に分離可能な場合がある。そこで、特徴抽出部24は、アンテナ部21を介して取得された電磁波データにケプストラム解析を施すことにより、暗復号処理に起因する特徴を抽出する。
【0066】
次に、以上のように動作するサイドチャネル情報測定装置2の動作の具体例について説明する。ここでは、非接触型ICカード81にDES(Data Encryption Standard)が実装され、秘密鍵があらかじめ設定されているものとする。また、アンテナ部21は、近傍の電磁波を測定可能な磁界プローブによって構成されているものとする。また、特徴抽出部24は、ローパスフィルタによって構成され、ローパスフィルタは、通信用電磁波の周波数よりも低い部分を通過帯域として設定されているものとする。また、測定部23は、オシロスコープによって構成されているものとする。
【0067】
また、本例では、図5に示すように、非接触型ICカード81およびICカードリーダライタ82の通信用電磁波の周波数と、非接触型ICカード81から暗復号処理時に漏洩する電磁波の周波数とが異なることがあらかじめわかっているものとする。図5(a)は、暗復号処理が行われないときの通信のパワースペクトルであり、(b)は、暗復号処理中の通信のパワースペクトルである。図5において、矢印のピークは通信用電磁波の周波数である。図5に示すように、この例では、通信用電磁波の周波数よりも低い帯域において、暗号処理有りと無しの場合とでパワースペクトルに違いが見られる。そのため、この例では、特徴抽出部24は、ローパスフィルタにより通信用電磁波より低い帯域を通過帯域としてフィルタリングする。これにより、磁界プローブによって取得される電磁波データから通信用電磁波が除去されるので、トリガ判定部25は、暗号処理時であるか否かを所定の条件に基づき判定することが可能となる。
【0068】
まず、トリガ生成部22は、ICカードリーダライタ82に対して、暗号処理実行のコマンドおよび平文データを送る(ステップS11)。
【0069】
これにより、非接触型ICカード81およびICカードリーダライタ82間で通信が行われる。具体的には、ICカードリーダライタ82は、暗号処理のコマンドおよび平文データを非接触型ICカード81へ送信する。コマンドを受信した非接触型ICカード81は、受け取った平文に対して暗号処理を実施する。
【0070】
並行して、磁界プローブ(アンテナ部21)は、非接触型ICカード81およびICカードリーダライタ82の近傍で、通信中の電磁波を測定する(ステップS12)。
【0071】
次に、特徴抽出部24は、磁界プローブ(アンテナ部21)で取得された電磁波データをローパスフィルタに通過させる(ステップS13)。ここで、ローパスフィルタを通過させた通信中の電磁波データを図6に示しておく。
【0072】
次に、トリガ判定部25は、ローパスフィルタを通過したデータに対して、トリガ発生の所定の条件を満たしているか否かを判定する(ステップS14)。
【0073】
そして、所定の条件を満たしていると判定した場合、トリガ判定部25は、オンを示すトリガ信号をオシロスコープ(測定部23)へ送信する(ステップS15)。
【0074】
次に、オンを示すトリガ信号を受信したオシロスコープ(測定部23)は、磁界プローブ(アンテナ部21)から送られてくる電磁波の測定を行い、測定したデータを格納する(ステップS16)。
【0075】
なお、比較のため、ローパスフィルタを通過させない電磁波データを図7に示す。図6および図7を比較すると、特徴抽出が行われない場合(図7)では、暗号処理時(例えば、時間帯T1の部分)の波形の変化はあまり見られない。一方、特徴抽出が行われる場合(図6)では、同じ暗号処理時(時間帯T1の部分)の波形の変化が明確となっている。したがって、特徴抽出部24による特徴抽出により、トリガ判定部25による測定タイミングの判定精度を向上させることが可能となっていることがわかる。
【0076】
次に、本発明の第2の実施の形態の効果について述べる。
【0077】
本発明の第2の実施の形態としてのサイドチャネル情報測定装置は、無線通信を行う暗号装置から、暗復号処理との関連性の高い漏洩電磁波を精度よく測定することができる。
【0078】
その理由は、特徴抽出部が、暗号装置近傍で測定可能な電磁波から通信用電磁波を分離することにより、暗号装置による暗復号処理の特徴を抽出し、特徴抽出部によって抽出された電磁波データが所定の条件を満たす場合に、トリガ判定部がトリガ信号を生成して測定部に送信するからである。ここで、暗号装置近傍で測定される電磁波をそのまま測定する装置は、暗復号処理との関連性が低い電磁波データを測定する場合がある。その場合、暗復号処理との関連性が低い電磁波データを用いて行われる暗号装置の耐性評価結果は信頼性の低いものとなってしまう。これに対して、本発明の第2の実施の形態としてのサイドチャネル情報測定装置は、暗号装置近傍で測定される電磁波から通信用電磁波の特徴を取り除いて暗復号処理の特徴を抽出し、抽出した電磁波データにおいて所定の条件を満たす場合に、暗号装置から発生する電磁波データを測定する。これにより、本発明の第2の実施の形態としてのサイドチャネル情報測定装置は、暗復号処理との関連性が高い箇所の電磁波データをサイドチャネル情報として測定可能となる。したがって、本発明の第2の実施の形態としてのサイドチャネル情報測定装置は、本装置により測定されたサイドチャネル情報を用いたサイドチャネル攻撃耐性評価の信頼性を向上させることができる。
【0079】
なお、本実施の形態において、トリガ生成部22および測定部23は、同一のアンテナ部21を介して非接触型ICカード81付近で発生する電磁波を取得しているが、トリガ生成部22および測定部23は、図8に示すように、異なるアンテナ21aおよび21bを介して、非接触型ICカード81から発生する電磁波をそれぞれ取得してもよい。また、図9に示すように、トリガ生成部22および測定部23は、同一の測定装置230内に配置されていてもよい。
【0080】
(第3の実施の形態)
次に、本発明の第3の実施の形態について図面を参照して詳細に説明する。本実施の形態としては、サイドチャネル攻撃の耐性評価を行う耐性評価装置と、本発明のサイドチャネル情報測定装置とを含むサイドチャネル攻撃耐性評価システムについて説明する。本実施の形態において、サイドチャネル情報測定装置は、耐性評価装置に接続されることにより、耐性評価装置からの情報に基づいてサイドチャネル情報を再測定する。なお、本実施の形態の説明において参照する各図面において、本発明の第1および第2の実施の形態と同一の構成および同様に動作するステップには同一の符号を付して本実施の形態における詳細な説明を省略する。
【0081】
まず、本発明の第3の実施の形態としてのサイドチャネル攻撃耐性評価システム30の構成を図10に示す。図10において、サイドチャネル攻撃耐性評価システム30は、サイドチャネル情報測定装置3と、耐性評価装置91とを含む。また、サイドチャネル情報測定装置3は、本発明の第2の実施の形態としてのサイドチャネル情報測定装置2に対して、トリガ生成部22に替えてトリガ生成部32を備える点が異なる。トリガ生成部32は、特徴抽出部34およびトリガ判定部35を有する。また、サイドチャネル情報測定装置3および耐性評価装置91は、互いに通信可能に接続される。なお、サイドチャネル情報測定装置3のトリガ生成部32と、耐性評価装置91とは、同一の制御装置によって構成されていてもよい。
【0082】
耐性評価装置91は、測定部23によって測定された電磁波データを用いて、非接触型ICカード81のサイドチャネル攻撃への耐性を評価する。ここで、耐性評価方法としては、サイドチャネル情報として得られた電磁波データに対してサイドチャネル攻撃を行い、攻撃が成功するか否かの判定を評価結果とする方法がある。あるいは、他の耐性評価方法としては、サイドチャネル情報として得られた電磁波データと基準波形との相関、距離または類似度に基づく評価を行う方法等がある。
【0083】
また、耐性評価装置91は、トリガ生成部32に対して、耐性評価結果をフィードバックする。フィードバックする情報は、例えば、耐性の有無、解析時のピークの出現箇所、ピークの値、基準波形との相関値、距離、類似度、または、解析に成功した部分鍵の数等であってもよい。
トリガ生成部32は、本発明の第2の実施の形態におけるトリガ生成部22と同様に構成されることに加えて、耐性評価装置91から耐性評価結果を表す情報を取得する。そして、トリガ生成部32は、耐性評価結果を表す情報に基づいて、特徴抽出部34およびトリガ判定部35の処理に関わる各種パラメータを調整する。特徴抽出部34およびトリガ判定部35は、本発明の第2の実施の形態における特徴抽出部24およびトリガ判定部25と同様に構成されることに加えて、各種パラメータが調整可能となっている。
【0084】
例えば、特徴抽出部34は、耐性評価結果に基づいて、周波数フィルタリングにおける通過帯域やフィルタの窓幅、窓の位置を調整してもよい。また、特徴抽出部34は、耐性評価結果に基づいて、データ変換において検出するピーク位置を調整してもよい。また、特徴抽出部34は、耐性評価結果に基づいて、周波数変換に用いる窓幅、窓の位置を調整してもよい。また、トリガ判定部35は、耐性評価結果に基づいて、トリガ生成の判定条件とする電力値や電圧値の閾値を調整してもよい。
【0085】
以上のように構成されたサイドチャネル情報測定装置3の動作について、図11を参照して説明する。
【0086】
まず、サイドチャネル情報測定装置3は、ステップS11〜S16まで本発明の第2の実施形態と同様に動作することにより、非接触型ICカード81からサイドチャネル情報を測定する。
【0087】
次に、測定部23は、耐性評価装置91に対してサイドチャネル情報を出力する。そして、耐性評価装置91は、非接触型ICカード81のサイドチャネル攻撃への耐性を評価する(ステップS31)。なお、耐性評価装置91において、例えば差分電磁波解析のように、複数の電磁波データを用いた耐性評価が行われる場合には、サイドチャネル情報測定装置3は、ステップS11〜S16までを必要な回数だけ実行後、ステップS31を実行すればよい。そして、トリガ生成部32は、耐性評価装置91から耐性評価結果を表す情報を取得する(ステップS32)。
【0088】
ここで、耐性評価結果が、あらかじめ設定された終了条件を満たす場合(ステップS32でYes)、サイドチャネル情報測定装置3は動作を終了する。
【0089】
一方、耐性評価結果が、あらかじめ設定された終了条件を満たさない場合(ステップS32でNo)、トリガ生成部32は、耐性評価結果に基づいてパラメータを調整する(ステップS33)。ステップS32〜S33の動作の詳細については後述する。
【0090】
次に、調整されたパラメータを用いて、サイドチャネル情報測定装置3は、ステップS11からの動作を再度実行してサイドチャネル情報の測定を行う。
【0091】
以上で、サイドチャネル情報測定装置3の動作の説明を終了する。
【0092】
次に、ステップS33〜S34におけるトリガ生成部32の動作の一例について詳細に説明する。
【0093】
例えば、耐性評価装置91が耐性有りと判定した場合でも、トリガ判定部35で用いる閾値が高すぎたために暗復号処理のタイミングでトリガ信号を生成できなかった可能性がある。そこで、トリガ生成部32は、耐性評価装置91から取得した耐性評価結果が耐性有りを表している場合、トリガ判定部35で用いる所定の条件としての(電圧値や電力値の)閾値を下げる。そして、サイドチャネル情報測定装置3は、調整された閾値を用いて再度トリガ信号を生成し、改めてサイドチャネル情報の測定を行う。そして、再度測定されたサイドチャネル情報を用いて、耐性評価装置91が耐性評価を行う。このようにして、測定および評価を繰返し、サイドチャネル情報測定装置3は、耐性評価装置91において耐性無しと判定された場合に、測定を終了してもよい。または、サイドチャネル情報測定装置3は、トリガ判定部35で用いる閾値が所定値より下がった場合に測定を終了してもよい。または、サイドチャネル情報測定装置3は、測定および評価を所定回数以上繰り返した場合に、測定を終了してもよい。
【0094】
また、例えば、耐性評価装置91が周波数領域上での攻撃を行い、攻撃の結果ある周波数にピークが出現したことを想定する。この場合、攻撃の結果出現するピークは暗復号処理の特徴を示していると考えられる。すなわち、その周波数帯域が暗復号処理に関連していると考えられる。そこで、トリガ生成部32は、耐性評価装置91から、評価(攻撃)の過程で抽出したピークの出現帯域を表す情報を耐性評価結果として取得し、取得した帯域を通過帯域として特徴抽出部34によるフィルタリングを行うようにしてもよい。この場合も、サイドチャネル情報測定装置3は、耐性無しと確認された場合や、ループ回数が閾値を上回った場合等を終了条件として、測定を終了すればよい。
【0095】
また、例えば、特徴抽出部34による周波数変換の結果得られるデータに、ピークが複数出現することがある。このとき、トリガ判定部35は、初回は、一番高いピークを示す帯域が所定の条件を満たすか否かに基づいてトリガ信号を生成するようにする。そして、耐性評価装置91からの耐性評価結果に基づいて(例えば、耐性有りと判定された場合)、トリガ判定部35は、前回の処理時の次に高いピークを示す帯域に基づいてトリガ信号を生成するようにしてもよい。この場合も、サイドチャネル情報測定装置3は、耐性無しと確認された場合や、ループ回数が閾値を上回った場合等を終了条件として、測定を終了すればよい。
【0096】
また、例えば、特徴抽出部34は、上述のようなピークの高さ順に関わらず、耐性評価結果が終了条件を満たすまで、低周波側または高周波側から順次トリガ判定の対象とする帯域をずらしていくようにしてもよい。
【0097】
次に、本発明の第3の実施の形態の効果について述べる。
【0098】
本発明の第3の実施の形態としてのサイドチャネル情報測定装置は、暗号装置の耐性評価の精度向上のためにより適したサイドチャネル情報を測定することを可能とする。
【0099】
その理由は、測定部が、測定したサイドチャネル情報を耐性評価装置に出力し、トリガ生成部が、耐性評価装置から耐性評価結果を表す情報を取得することにより、暗復号処理のタイミングの判定に用いる各種パラメータを調整するからである。
【0100】
なお、本発明の第2および第3の実施の形態として、非接触型ICカードのサイドチャネル情報を測定するサイドチャネル情報測定装置およびサイドチャネル攻撃耐性評価システムについて説明したが、各実施の形態は、非接触型ICカードに限らず、無線通信を行う暗号装置に対して適用可能である。
【0101】
また、上述した各実施の形態において、漏洩情報受信部によって受信された漏洩情報を測定部が測定するタイミングは、同じ漏洩情報に対するトリガ生成部の処理により生成されるトリガ信号に基づいて決定される。このとき、このトリガ生成部の処理時間は十分に小さいものとして各実施の形態の説明を行った。もし、トリガ生成部の処理時間による遅延が問題となる程度である場合、各実施の形態における測定部は、漏洩情報受信部によって受信された漏洩情報を内部に蓄積しておき、トリガ信号の受信に基づいて、遅延時間分遡った時点を基準として測定を行うようにしてもよい。
【0102】
また、上述した各実施の形態において、トリガ生成部は、CPUと、RAM(Random Access Memory)と、ROM(Read Only Memory)と、ハードディスク等の記憶装置と、外部機器接続インタフェースとを含むコンピュータ装置によって構成されていてもよい。この場合、CPUは、ROMまたは記憶装置に記憶されたコンピュータ・プログラムおよびデータをRAMに読み込んで実行することにより、コンピュータ装置を本発明のサイドチャネル情報測定装置として機能させる。また、外部機器接続インタフェースは、漏洩情報受信部および測定部にそれぞれ接続されることにより、各部との間で情報を送受信する。
【0103】
そして、この場合、上述した本発明の各実施の形態において、各フローチャートを参照して説明したサイドチャネル情報測定装置の動作を、本発明のコンピュータ・プログラムとしてコンピュータ装置の記憶装置(記憶媒体)に格納しておき、係るコンピュータ・プログラムを当該CPUが読み出して実行するようにしてもよい。そして、このような場合において、本発明は、係るコンピュータ・プログラムのコード或いは記憶媒体によって構成される。
【0104】
また、上述した各実施の形態は、適宜組み合わせて実施されることが可能である。
【0105】
また、本発明は、上述した各実施の形態に限定されず、様々な態様で実施されることが可能である。
【0106】
また、上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
暗号装置から漏洩する漏洩情報を受信する漏洩情報受信部と、
前記漏洩情報において前記暗号装置による暗復号処理の特徴を示す部分に基づいてトリガ信号を生成するトリガ生成部と、
前記トリガ信号に基づいて、前記漏洩情報を測定する測定部と、
を備えたサイドチャネル情報測定装置。
(付記2)
前記トリガ生成部は、
前記漏洩情報に対して不要な情報を分離するための信号処理を行うことにより前記暗復号処理の特徴を示す部分を抽出する特徴抽出部と、
前記特徴抽出部によって抽出された部分が所定の条件を満たす場合にオンとなるよう前記トリガ信号を生成するトリガ判定部と、
を有することを特徴とする付記1に記載のサイドチャネル情報測定装置。
(付記3)
前記暗号装置は、前記暗復号処理に伴い他の装置との間で無線通信を行う通信装置であり、
前記漏洩情報受信部は、前記暗号装置近傍で発生する電磁波を前記漏洩情報として受信し、
前記特徴抽出部は、前記暗号装置および前記他の装置間の通信用電磁波の特徴を前記漏洩情報から分離するための前記信号処理を行うことを特徴とする付記2に記載のサイドチャネル情報測定装置。
(付記4)
前記特徴抽出部は、前記信号処理として周波数フィルタによる処理を行うことを特徴とする付記3に記載のサイドチャネル情報測定装置。
(付記5)
前記特徴抽出部は、前記周波数フィルタにおいて、前記通信用電磁波の周波数帯を除く帯域を通過帯域とすることを特徴とする付記4に記載のサイドチャネル情報測定装置。
(付記6)
前記特徴抽出部は、前記信号処理としてデータ変換処理を行うことを特徴とする付記3に記載のサイドチャネル情報測定装置。
(付記7)
前記特徴抽出部は、前記漏洩情報を周波数成分へデータ変換することを特徴とする付記6に記載のサイドチャネル情報測定装置。
(付記8)
前記特徴抽出部は、前記漏洩情報を時間周波数成分へデータ変換することを特徴とする付記6に記載のサイドチャネル情報測定装置。
(付記9)
前記特徴抽出部は、前記漏洩情報をケフレンシー成分へデータ変換することを特徴とする付記6に記載のサイドチャネル情報測定装置。
(付記10)
前記トリガ判定部は、前記通信用電磁波の周波数帯を除く周波数帯に着目して前記所定の条件を判定することを特徴とする付記7から付記9のいずれかに記載のサイドチャネル情報測定装置。
(付記11)
前記トリガ生成部は、前記測定部によって測定されたサイドチャネル情報に基づいて前記暗号装置のサイドチャネル攻撃耐性を評価する耐性評価装置から、評価結果を表す情報を取得し、取得した情報に基づいて、前記特徴抽出部および前記トリガ判定部における処理のパラメータを調整して前記トリガ信号を生成することを特徴とする付記2から付記10のいずれかに記載のサイドチャネル情報測定装置。
(付記12)
付記1から付記11のいずれか1つに記載のサイドチャネル情報測定装置と、
前記サイドチャネル情報測定装置によって測定されたサイドチャネル情報に基づいて前記暗号装置のサイドチャネル攻撃耐性を評価する耐性評価装置と、
を備えたサイドチャネル攻撃耐性評価システム。
(付記13)
前記サイドチャネル情報測定装置が付記11に記載されたものであるとき、
前記耐性評価装置は、前記評価結果を表す情報を前記サイドチャネル情報測定装置に送信することを特徴とする付記12に記載のサイドチャネル攻撃耐性評価システム。
(付記14)
暗号装置から漏洩する漏洩情報を受信し、
前記漏洩情報において前記暗号装置による暗復号処理の特徴を示す部分に基づいてトリガ信号を生成し、
前記トリガ信号に基づいて、前記漏洩情報を測定する、サイドチャネル情報測定方法。
(付記15)
受信した前記漏洩情報に対して不要な情報を分離するための信号処理を行い、
信号処理済の情報が所定の条件を満たす場合にオンとなるよう前記トリガ信号を生成することを特徴とする付記14に記載のサイドチャネル情報測定方法。
(付記16)
暗号装置から漏洩する漏洩情報を受信する漏洩情報受信ステップと、
前記漏洩情報において前記暗号装置による暗復号処理の特徴を示す部分に基づいてトリガ信号を生成するトリガ生成ステップと、
前記トリガ信号に基づいて、前記漏洩情報を測定する測定ステップと、
をコンピュータ装置に実行させるコンピュータ・プログラム。
(付記17)
前記トリガ生成ステップで、
前記漏洩情報に対して不要な情報を分離するための信号処理を行うことにより前記暗復号処理の特徴を示す部分を抽出する特徴抽出ステップと、
前記特徴抽出ステップで抽出された部分が所定の条件を満たす場合にオンとなるよう前記トリガ信号を生成するトリガ判定ステップと、
を前記コンピュータ装置に実行させることを特徴とする付記16に記載のコンピュータ・プログラム。
【符号の説明】
【0107】
1、2、3 サイドチャネル情報測定装置
8 暗号装置
9、91 耐性評価装置
11 漏洩情報受信部
12、22、32 トリガ生成部
13、23 測定部
21 アンテナ部
24、34 特徴抽出部
25、35 トリガ判定部
30 サイドチャネル攻撃耐性評価システム
81 非接触型ICカード
82 ICカードリーダライタ
210 対象保持部
【特許請求の範囲】
【請求項1】
暗号装置から漏洩する漏洩情報を受信する漏洩情報受信部と、
前記漏洩情報において前記暗号装置による暗復号処理の特徴を示す部分に基づいてトリガ信号を生成するトリガ生成部と、
前記トリガ信号に基づいて、前記漏洩情報を測定する測定部と、
を備えたサイドチャネル情報測定装置。
【請求項2】
前記トリガ生成部は、
前記漏洩情報に対して不要な情報を分離するための信号処理を行うことにより前記暗復号処理の特徴を示す部分を抽出する特徴抽出部と、
前記特徴抽出部によって抽出された部分が所定の条件を満たす場合にオンとなるよう前記トリガ信号を生成するトリガ判定部と、
を有することを特徴とする請求項1に記載のサイドチャネル情報測定装置。
【請求項3】
前記暗号装置は、前記暗復号処理に伴い他の装置との間で無線通信を行う通信装置であり、
前記漏洩情報受信部は、前記暗号装置近傍で発生する電磁波を前記漏洩情報として受信し、
前記特徴抽出部は、前記暗号装置および前記他の装置間の通信用電磁波の特徴を前記漏洩情報から分離するための前記信号処理を行うことを特徴とする請求項2に記載のサイドチャネル情報測定装置。
【請求項4】
前記トリガ生成部は、前記測定部によって測定されたサイドチャネル情報に基づいて前記暗号装置のサイドチャネル攻撃耐性を評価する耐性評価装置から、評価結果を表す情報を取得し、取得した情報に基づいて、前記特徴抽出部および前記トリガ判定部における処理のパラメータを調整して前記トリガ信号を生成することを特徴とする請求項2または請求項3に記載のサイドチャネル情報測定装置。
【請求項5】
請求項1から請求項4のいずれか1項に記載のサイドチャネル情報測定装置と、
前記サイドチャネル情報測定装置によって測定されたサイドチャネル情報に基づいて前記暗号装置のサイドチャネル攻撃耐性を評価する耐性評価装置と、
を備えたサイドチャネル攻撃耐性評価システム。
【請求項6】
前記サイドチャネル情報測定装置が請求項4に記載されたものであるとき、
前記耐性評価装置は、前記評価結果を表す情報を前記サイドチャネル情報測定装置に送信することを特徴とする請求項5に記載のサイドチャネル攻撃耐性評価システム。
【請求項7】
暗号装置から漏洩する漏洩情報を受信し、
前記漏洩情報において前記暗号装置による暗復号処理の特徴を示す部分に基づいてトリガ信号を生成し、
前記トリガ信号に基づいて、前記漏洩情報を測定する、サイドチャネル情報測定方法。
【請求項8】
受信した前記漏洩情報に対して不要な情報を分離するための信号処理を行い、
信号処理済の情報が所定の条件を満たす場合にオンとなるよう前記トリガ信号を生成することを特徴とする請求項7に記載のサイドチャネル情報測定方法。
【請求項9】
暗号装置から漏洩する漏洩情報を受信する漏洩情報受信ステップと、
前記漏洩情報において前記暗号装置による暗復号処理の特徴を示す部分に基づいてトリガ信号を生成するトリガ生成ステップと、
前記トリガ信号に基づいて、前記漏洩情報を測定する測定ステップと、
をコンピュータ装置に実行させるコンピュータ・プログラム。
【請求項10】
前記トリガ生成ステップで、
前記漏洩情報に対して不要な情報を分離するための信号処理を行うことにより前記暗復号処理の特徴を示す部分を抽出する特徴抽出ステップと、
前記特徴抽出ステップで抽出された部分が所定の条件を満たす場合にオンとなるよう前記トリガ信号を生成するトリガ判定ステップと、
を前記コンピュータ装置に実行させることを特徴とする請求項9に記載のコンピュータ・プログラム。
【請求項1】
暗号装置から漏洩する漏洩情報を受信する漏洩情報受信部と、
前記漏洩情報において前記暗号装置による暗復号処理の特徴を示す部分に基づいてトリガ信号を生成するトリガ生成部と、
前記トリガ信号に基づいて、前記漏洩情報を測定する測定部と、
を備えたサイドチャネル情報測定装置。
【請求項2】
前記トリガ生成部は、
前記漏洩情報に対して不要な情報を分離するための信号処理を行うことにより前記暗復号処理の特徴を示す部分を抽出する特徴抽出部と、
前記特徴抽出部によって抽出された部分が所定の条件を満たす場合にオンとなるよう前記トリガ信号を生成するトリガ判定部と、
を有することを特徴とする請求項1に記載のサイドチャネル情報測定装置。
【請求項3】
前記暗号装置は、前記暗復号処理に伴い他の装置との間で無線通信を行う通信装置であり、
前記漏洩情報受信部は、前記暗号装置近傍で発生する電磁波を前記漏洩情報として受信し、
前記特徴抽出部は、前記暗号装置および前記他の装置間の通信用電磁波の特徴を前記漏洩情報から分離するための前記信号処理を行うことを特徴とする請求項2に記載のサイドチャネル情報測定装置。
【請求項4】
前記トリガ生成部は、前記測定部によって測定されたサイドチャネル情報に基づいて前記暗号装置のサイドチャネル攻撃耐性を評価する耐性評価装置から、評価結果を表す情報を取得し、取得した情報に基づいて、前記特徴抽出部および前記トリガ判定部における処理のパラメータを調整して前記トリガ信号を生成することを特徴とする請求項2または請求項3に記載のサイドチャネル情報測定装置。
【請求項5】
請求項1から請求項4のいずれか1項に記載のサイドチャネル情報測定装置と、
前記サイドチャネル情報測定装置によって測定されたサイドチャネル情報に基づいて前記暗号装置のサイドチャネル攻撃耐性を評価する耐性評価装置と、
を備えたサイドチャネル攻撃耐性評価システム。
【請求項6】
前記サイドチャネル情報測定装置が請求項4に記載されたものであるとき、
前記耐性評価装置は、前記評価結果を表す情報を前記サイドチャネル情報測定装置に送信することを特徴とする請求項5に記載のサイドチャネル攻撃耐性評価システム。
【請求項7】
暗号装置から漏洩する漏洩情報を受信し、
前記漏洩情報において前記暗号装置による暗復号処理の特徴を示す部分に基づいてトリガ信号を生成し、
前記トリガ信号に基づいて、前記漏洩情報を測定する、サイドチャネル情報測定方法。
【請求項8】
受信した前記漏洩情報に対して不要な情報を分離するための信号処理を行い、
信号処理済の情報が所定の条件を満たす場合にオンとなるよう前記トリガ信号を生成することを特徴とする請求項7に記載のサイドチャネル情報測定方法。
【請求項9】
暗号装置から漏洩する漏洩情報を受信する漏洩情報受信ステップと、
前記漏洩情報において前記暗号装置による暗復号処理の特徴を示す部分に基づいてトリガ信号を生成するトリガ生成ステップと、
前記トリガ信号に基づいて、前記漏洩情報を測定する測定ステップと、
をコンピュータ装置に実行させるコンピュータ・プログラム。
【請求項10】
前記トリガ生成ステップで、
前記漏洩情報に対して不要な情報を分離するための信号処理を行うことにより前記暗復号処理の特徴を示す部分を抽出する特徴抽出ステップと、
前記特徴抽出ステップで抽出された部分が所定の条件を満たす場合にオンとなるよう前記トリガ信号を生成するトリガ判定ステップと、
を前記コンピュータ装置に実行させることを特徴とする請求項9に記載のコンピュータ・プログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【公開番号】特開2013−26976(P2013−26976A)
【公開日】平成25年2月4日(2013.2.4)
【国際特許分類】
【出願番号】特願2011−162313(P2011−162313)
【出願日】平成23年7月25日(2011.7.25)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成25年2月4日(2013.2.4)
【国際特許分類】
【出願日】平成23年7月25日(2011.7.25)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]