サイドチャネル攻撃耐性評価装置、サイドチャネル攻撃耐性評価方法およびプログラム
【課題】秘密情報に関わる信号源とそれ以外のノイズとなる信号源との分離をし、耐性評価精度を向上させる。
【解決手段】サイドチャネル情報測定部2が、評価対象の暗号装置1から漏洩するサイドチャネル情報を測定し、通過帯域決定部4が、ケフレンシ窓の通過帯域を決定し、ケプストラム解析部3が、サイドチャネル情報測定部2が測定したサイドチャネル情報に対して、ケフレンシ窓の通過帯域に基づいて、ケプストラム解析を実施し、DSCA耐性評価部5が、ケプストラム解析部3にて解析されたサイドチャネル情報に基づいて、評価対象の暗号装置1のサイドチャネル攻撃への耐性の可否を判定する。
【解決手段】サイドチャネル情報測定部2が、評価対象の暗号装置1から漏洩するサイドチャネル情報を測定し、通過帯域決定部4が、ケフレンシ窓の通過帯域を決定し、ケプストラム解析部3が、サイドチャネル情報測定部2が測定したサイドチャネル情報に対して、ケフレンシ窓の通過帯域に基づいて、ケプストラム解析を実施し、DSCA耐性評価部5が、ケプストラム解析部3にて解析されたサイドチャネル情報に基づいて、評価対象の暗号装置1のサイドチャネル攻撃への耐性の可否を判定する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、サイドチャネル攻撃への耐性評価を実施するサイドチャネル攻撃耐性評価装置、サイドチャネル攻撃耐性評価方法およびプログラムに関し、特に、暗号装置から漏洩するサイドチャネル情報を用いてサイドチャネル攻撃への耐性評価を実施するサイドチャネル攻撃耐性評価装置、サイドチャネル攻撃耐性評価方法およびプログラムに関する。
【背景技術】
【0002】
情報の電子データ化が進む中で、情報の保護、秘匿な通信において、暗号はかかせない技術となっている。暗号はその安全性を保つために、鍵等の秘匿情報が容易に推測できないようにする必要がある。鍵の全数探索や数学的に解読を行う線形解読や差分解読等といった暗号解析方法が知られているが、現実的な時間での解析は不可能な状況といえる。
【0003】
その一方で、暗号機能付きのICカードや携帯端末などの暗号を実装した装置において、攻撃者が処理時間や消費電力などのサイドチャネル情報を精密に測定できるとの仮定の下で、サイドチャネル情報から秘匿情報の取得を試みるサイドチャネル攻撃とその対策とが大きな研究テーマとなっている。サイドチャネル情報には、攻撃対象である暗号装置内で実行されている処理やデータに関する情報が含まれており、サイドチャネル情報を解析することで、暗号アルゴリズム、処理タイミング、秘密鍵の推定が可能である。このサイドチャネル攻撃の中で、特に強力な攻撃手法として、複数のサイドチャネル情報に対する統計処理によりノイズ等の影響を抑えて秘密情報を推定する差分サイドチャネル解析(Differential Side−Channel Analysis:以下、DSCAと称する)がある。DSCAには攻撃に用いるサイドチャネル情報の種類によっていくつかの手法があり、消費電力を用いる場合は電力差分解析(Differential Power Analysis:以下、DPAと称する)(例えば、非特許文献1参照。)、電磁波を用いる場合は電磁波差分解析(Differential Electro−Magnetic Analysis:以下、DEMAと称する)(例えば、非特許文献2参照。)と呼ばれるものが存在する。
【0004】
暗号を実装した装置においては、実用上、サイドチャネル攻撃に対する攻撃耐性(耐タンパ性)が求められる。そのため、サイドチャネル情報から暗号アルゴリズムなどの秘匿情報の推定を困難にする耐タンパ技術の研究がすすめられている。ここで、耐タンパ性とは攻撃に対して、秘匿情報の漏洩や機能の改変を防ぐ性能のことである。耐タンパ技術として、恣意的にサイドチャネル情報に不要な情報を付加することで、サイドチャネル情報から秘匿情報の漏洩を防ぐ耐タンパ手法(例えば、特許文献1参照。)等が提案されている。ここで、上記のような耐タンパ手法を適用することで実際にサイドチャネル攻撃への耐性が向上しているか、耐タンパ手法の有効性を評価する必要がある。
【0005】
また、実装された暗号装置が本当に安全なのかどうかを確認するため、サイドチャネル攻撃に対する耐性を評価する技術が求められている(例えば、非特許文献3参照)。
【0006】
しかしながら、サイドチャネル攻撃耐性を評価するさいに、測定ノイズや環境ノイズなど不要な情報がサイドチャネル情報に加わったり、測定タイミングのズレによって測定波形にズレが発生したりすることで、耐性評価に使用する秘匿情報を示す特徴をサイドチャネル情報から抽出できないことがある。よって、正確にサイドチャネル攻撃耐性を評価するためには、サイドチャネル情報に含まれる不要な情報の除去やズレの補正など、対策が求められる。
【0007】
位置ズレの影響を軽減する手法としては、周波数差分解析(Differential Frequency Analysis:以下、DFAと称する)(例えば、非特許文献4参照。)がある。
【0008】
DFAは、時間領域にて測定されたサイドチャネル情報に対して離散フーリエ変換(Discrete Fourier Transform:以下、DFTと称する)により周波数領域に変換することで周波数成分毎の強度(パワースペクトル)を求め、そのパワースペクトルに対してDSCAを実施する手法であり、測定時の時間上のズレに対して効果がある。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開2007−116215号公報
【非特許文献】
【0010】
【非特許文献1】P. Kocher, J. Jaffe, and B. Jun, "Introduction to Differential Power Analysis and Related Attacks, ", 1998.
【非特許文献2】K. Gandolfi, C. Mourtel, and F. Olivier, "Electromagnetic Analysis: Concrete Results," CHES 2001, LNCS 2162, pp.251-262, 2001.
【非特許文献3】今井秀樹"情報セキュリティ −安全・安心な社会のために−",電子情報通信学会誌,2007年,Vol.90,No.5,pp.334−339
【非特許文献4】C. Gebotys, A. Tiu, "EM Analysis of Rijndael and ECC on a Wireless Java-based PDA,"CHES 2005, LNCS 3659, pp. 250-625, 2005.
【発明の概要】
【発明が解決しようとする課題】
【0011】
暗号装置のDSCAに対する耐タンパ性評価においては、測定時の位置ズレや他の信号源の影響の無いサイドチャネル情報に対して実施することが望ましい。
【0012】
しかし、上記で示したDFAは測定時の位置ズレに対しては効果があるものの複数の信号源が畳込まれている場合について考慮されていない。
【0013】
本発明の目的は、上述した課題を解決するサイドチャネル攻撃耐性評価装置、サイドチャネル攻撃耐性評価方法およびプログラムを提供することである。
【課題を解決するための手段】
【0014】
本発明のサイドチャネル攻撃耐性評価装置は、
暗号装置から漏洩するサイドチャネル情報を用いて暗号化の内部処理や秘匿情報を解析するサイドチャネル攻撃耐性評価装置であって、
評価対象の暗号装置から漏洩するサイドチャネル情報を測定するサイドチャネル情報測定部と、
ケフレンシ窓の通過帯域を決定する通過帯域決定部と、
前記サイドチャネル情報測定部が測定したサイドチャネル情報に対して、前記ケフレンシ窓の通過帯域に基づいて、ケプストラム解析を実施するケプストラム解析部と、
前記ケプストラム解析部にて解析されたサイドチャネル情報に基づいて、評価対象の前記暗号装置のサイドチャネル攻撃への耐性の可否を判定する差分サイドチャネル攻撃耐性評価部とを有する。
【0015】
また、本発明のサイドチャネル攻撃耐性評価方法は、
暗号装置から漏洩するサイドチャネル情報を用いて暗号化の内部処理や秘匿情報を解析するサイドチャネル攻撃耐性評価方法であって、
評価対象の暗号装置から漏洩するサイドチャネル情報を測定する処理と、
ケフレンシ窓の通過帯域を決定する処理と、
前記測定したサイドチャネル情報に対して、前記ケフレンシ窓の通過帯域に基づいて、ケプストラム解析を実施する処理と、
前記解析されたサイドチャネル情報に基づいて、評価対象の前記暗号装置のサイドチャネル攻撃への耐性の可否を判定する処理とを行う。
【0016】
また、本発明のプログラムは、
暗号装置から漏洩するサイドチャネル情報を用いて暗号化の内部処理や秘匿情報を解析するサイドチャネル攻撃耐性評価装置に実行させるためのプログラムであって、
評価対象の暗号装置から漏洩するサイドチャネル情報を測定する手順と、
ケフレンシ窓の通過帯域を決定する手順と、
前記測定したサイドチャネル情報に対して、前記ケフレンシ窓の通過帯域に基づいて、ケプストラム解析を実施する手順と、
前記解析されたサイドチャネル情報に基づいて、評価対象の前記暗号装置のサイドチャネル攻撃への耐性の可否を判定する手順とを実行させる。
【発明の効果】
【0017】
以上説明したように、本発明においては、測定されたサイドチャネル情報に対してケプストラム解析を実施することで、秘密情報に関わる信号源とそれ以外のノイズとなる信号源との分離ができ、耐性評価精度を向上させることができる。
【図面の簡単な説明】
【0018】
【図1】本発明を適用可能な実施形態に係るサイドチャネル攻撃耐性評価装置の概略構成の一例を示す図である。
【図2】図1に示した形態における第1の差分サイドチャネル攻撃耐性評価方法を説明するためのフローチャートである。
【図3】図1に示した形態における第2の差分サイドチャネル攻撃耐性評価方法を説明するためのフローチャートである。
【図4】図1に示した形態における第3の差分サイドチャネル攻撃耐性評価方法の一例を説明するためのフローチャートである。
【図5】図1に示した形態における第3の差分サイドチャネル攻撃耐性評価方法の他の例を説明するためのフローチャートである。
【図6】図1に示した形態における第4の差分サイドチャネル攻撃耐性評価方法を説明するためのフローチャートである。
【図7】図1に示したサイドチャネル情報測定部にて測定した漏洩電磁波の波形を示す図である。
【図8】図7に示した電磁波波形に対してケプストラム変換処理を実施した波形を示す図である。
【図9】図8に示した波形に対してDSCAを実施した結果、正しい秘密情報が推測された場合の差分波形を示す図である。
【図10】図8に示したケプストラムに対して、決定したケフレンシ窓の通過帯域でフィルタリング、DFT及び指数計算を行って得たスペクトル系列を示す図である。
【発明を実施するための形態】
【0019】
以下に、本発明を実施するための形態について、図面を参照して詳細に説明する。
【0020】
図1は、本発明を適用可能な実施形態に係るサイドチャネル攻撃耐性評価装置の概略構成の一例を示す図である。
【0021】
図1を参照すると、サイドチャネル攻撃耐性評価装置6には、評価対象の暗号装置1のサイドチャネル情報を測定するサイドチャネル情報測定部2と、サイドチャネル情報測定部2で測定したサイドチャネル情報に対してケプストラム解析を行うケプストラム解析部3と、ケプストラム解析部3にて行われるケプストラム解析におけるケフレンシ窓の最適な通過帯域を決定する通過帯域決定部4と、DSCAに対する耐性を評価する差分サイドチャネル攻撃耐性評価部であるDSCA耐性評価部5とが設けられている。
【0022】
暗号装置1は、平文に対する暗号化や暗号文に対する復号化等の暗復号処理を行う装置である。また、暗号装置1は、暗復号処理を実行する種々の情報処理装置が採用可能である。例えば、暗号装置1は、パーソナルコンピュータ(PC)、携帯端末、ICカード等であっても良い。
【0023】
サイドチャネル情報測定部2は、暗号装置1が暗復号処理を実施する際に漏洩するサイドチャネル情報を測定する。サイドチャネル情報は、暗号装置1において内部の処理に影響を受ける種々の情報が採用可能である。例えば、電力、電磁波、音、温度等であっても良い。ここで、例えば、電磁波をサイドチャネル情報として用いる場合は、サイドチャネル情報測定部2は、オシロスコープやスペクトラムアナライザ等の測定装置であっても良い。
【0024】
ケプストラム解析部3は、サイドチャネル情報測定部2にて測定したサイドチャネル情報に基づいて、DFTやInverse−DFT(以下、IDFTと称する)、対数変換を用いてケプストラム系列を求める。そして、ケプストラム解析部3は、ケフレンシ系列に対し、ケフレンシ窓を用いてフィルタリング処理を行う。また、ケプストラム解析部3は、フィルタリング処理の結果に対してDFTを用いることで対数振幅スペクトル系列へ変換する。また、ケプストラム解析部3は、対数振幅スペクトル系列への変換結果を指数計算することで、ケプストラム解析済みのスペクトル系列を得る。
【0025】
なお、ケプストラムの計算方法としては、一般的に様々なものが存在する。ケプストラム解析部3は、それらの中でいずれかの方法を用いてケフレンシ系列やケプストラム解析済みのスペクトル系列を得るものとする。
【0026】
ケプストラム解析部3からDSCA耐性評価部5へ、実施形態に応じて、ケプストラム系列やケプストラム解析済みのスペクトル系列を出力する。なお、ケフレンシ窓の通過帯域は通過帯域決定部4により決定される。ケプストラム系列へ変換することで、畳込まれている信号が異なるケフレンシ領域に出現することになる。ケプストラム系列のままDSCAを行った場合には、DSCAに関連するケフレンシの帯域においてピークが出現し、秘密情報を得ることができる。また、ケプストラム系列に対してケフレンシ窓を掛けることで、畳込まれている信号を分離することができる。そのため、DSCAに関連する成分のみ取り出すことで、畳込まれていた成分の影響を軽減することができ、DSCAの精度が向上する。
【0027】
通過帯域決定部4は、ケプストラム解析部3にて使用されるケフレンシ窓の通過帯域を決定する手段である。決定方法として、装置のユーザが入力する方法、データベースに登録してある情報から引用する方法、一度サイドチャネル情報測定部2で測定されたサイドチャネル情報から決定する方法、DSCA耐性評価部5における評価結果に応じて決定する方法などが考えられる。
【0028】
DSCA耐性評価部5は、ケプストラム解析部3にて処理されたサイドチャネル情報に対してDSCAを実施し、秘密情報の導出の可否や秘密情報の導出に必要なサイドチャネル情報量について評価を行う。
【0029】
このような構成を有するサイドチャネル攻撃耐性評価装置6は、サイドチャネル攻撃耐性評価装置6は、暗号装置1から漏洩するサイドチャネル情報を用いて暗号化の内部処理や秘匿情報を解析する。
(第1の評価方法)
続いて、本形態における第1の差分サイドチャネル攻撃耐性評価方法について説明する。
【0030】
図2は、図1に示した形態における第1の差分サイドチャネル攻撃耐性評価方法を説明するためのフローチャートである。
【0031】
まず、評価対象の暗号装置1から漏洩するサイドチャネル情報をサイドチャネル情報測定部2で測定する(ステップS1)。
【0032】
次に、通過帯域決定部4でケフレンシ窓の通過帯域を決定する(ステップS2)。
【0033】
続いて、ケプストラム解析部3で、サイドチャネル情報測定部2が測定したサイドチャネル情報に対してケフレンシ系列への変換、通過帯域決定部4が決定したケフレンシ窓の通過帯域に基づいたフィルタリング、およびスペクトル系列の算出といったケプストラム解析を行い、ケプストラム解析済みのサイドチャネル情報を出力する(ステップS3)。
【0034】
最後に、ケプストラム解析部3から出力されてきたサイドチャネル情報を用いて、DSCA耐性評価部5において、評価対象のDSCA耐性評価を実施する(ステップS4)。
【0035】
このように、ケプストラム解析を実施し、秘密情報に関わる信号源とそれ以外のノイズとなる信号源の分離することで、耐性の評価精度が向上する。
(第2の評価方法)
続いて、本形態における第2の差分サイドチャネル攻撃耐性評価方法について説明する。
【0036】
図3は、図1に示した形態における第2の差分サイドチャネル攻撃耐性評価方法を説明するためのフローチャートである。
【0037】
まず、評価対象の暗号装置1から漏洩するサイドチャネル情報をサイドチャネル情報測定部2で測定する(ステップS11)。
【0038】
次に、ケプストラム解析部3で、サイドチャネル情報測定部2が測定したサイドチャネル情報に対してケフレンシ系列への変換(ケプストラム変換)を行い、サイドチャネル情報のケプストラムを出力する(ステップS12)。
【0039】
最後に、ケプストラム解析部3から出力されてきたサイドチャネル情報のケプストラムを用いて、DSCA耐性評価部5において、評価対象のDSCA耐性評価を実施する(ステップS13)。
【0040】
このように、サイドチャネル情報をケフレンシ系列へ変換することで、秘密情報に関わる信号源とそれ以外のノイズとなる信号源がケフレンシ上で分離しており、それにより耐性の評価精度が向上する。
(第3の評価方法)
続いて、本形態における第3の差分サイドチャネル攻撃耐性評価方法について説明する。
【0041】
図4は、図1に示した形態における第3の差分サイドチャネル攻撃耐性評価方法の一例を説明するためのフローチャートである。
【0042】
まず、評価対象の暗号装置1から漏洩するサイドチャネル情報をサイドチャネル情報測定部2で測定する(ステップS21)。
【0043】
次に、通過帯域決定部4で、サイドチャネル情報測定部2が測定したサイドチャネル情報に応じて、ケフレンシ窓の通過帯域を決定する(ステップS22)。
【0044】
続いて、ケプストラム解析部3で、サイドチャネル情報測定部2が測定したサイドチャネル情報に対してケフレンシ系列への変換、通過帯域決定部4が決定したケフレンシ窓の通過帯域に基づいたフィルタリング、およびスペクトル系列の算出といったケプストラム解析を行い、ケプストラム解析済みのサイドチャネル情報を出力する(ステップS23)。
【0045】
最後に、ケプストラム解析部3から出力されてきたサイドチャネル情報を用いて、DSCA耐性評価部5において、評価対象のDSCA耐性評価を実施する(ステップS24)。
【0046】
第1の評価方法との違いは、通過帯域決定部4におけるケフレンシ窓の通過帯域の決定に、サイドチャネル情報測定部2で測定したサイドチャネル情報を用いる点である。
【0047】
このように、サイドチャネル情報からケフレンシ窓の通過帯域を決定することで、DSCAに適したケフレンシ窓の通過帯域を決定することができ、その結果、耐性の評価精度が向上する。
【0048】
なお、サイドチャネル情報を用いたケフレンシ窓の通過帯域の決定方法として、一度ケフレンシ系列へ変換し、ケフレンシ系列に出現するピーク位置を基準として決定する方法が考えられる。
【0049】
図5は、図1に示した形態における第3の差分サイドチャネル攻撃耐性評価方法の他の例を説明するためのフローチャートである。
【0050】
まず、評価対象の暗号装置1から漏洩するサイドチャネル情報をサイドチャネル情報測定部2で測定する(ステップS31)。
【0051】
次に、通過帯域決定部4で、サイドチャネル情報測定部2が測定したサイドチャネル情報に対してケフレンシ系列への変換を行い(ステップS32)、ケフレンシ系列のピーク位置を基準としてケフレンシ窓の通過帯域を決定する(ステップS33)。
【0052】
ケフレンシ系列のピーク位置を基準とする場合の帯域としては、そのピーク近傍のみを通過させる、ピークより下のケフレンシ帯域のみ通過させる、ピークより上のケフレンシ帯域のみ通過させるといったものが考えられる。
【0053】
続いて、ケプストラム解析部3で、通過帯域決定部4が決定したケフレンシ窓の通過帯域に基づいたフィルタリング、およびスペクトル系列の算出といったケプストラム解析を行い、ケプストラム解析済みのサイドチャネル情報を出力する(ステップS34)。
【0054】
最後に、ケプストラム解析部3から出力されてきたサイドチャネル情報を用いて、DSCA耐性評価部5において、評価対象のDSCA耐性評価を実施する(ステップS35)。
(第4の評価方法)
続いて、本形態における第4の差分サイドチャネル攻撃耐性評価方法について説明する。
【0055】
図6は、図1に示した形態における第4の差分サイドチャネル攻撃耐性評価方法を説明するためのフローチャートである。
【0056】
まず、評価対象の暗号装置1から漏洩するサイドチャネル情報をサイドチャネル情報測定部2で測定する(ステップS41)。
【0057】
次に、ケプストラム解析部3で、サイドチャネル情報測定部2が測定したサイドチャネル情報に対してケフレンシ系列への変換を行い、サイドチャネル情報のケプストラムを出力する(ステップS42)。
【0058】
そして、ケプストラム解析部3から出力されてきたサイドチャネル情報のケプストラムを用いて、DSCA耐性評価部5において、評価対象のDSCA耐性評価を実施する(ステップS43)。
【0059】
続けて、評価結果を通過帯域決定部4へ出力し、通過帯域決定部4にて評価結果に応じてケフレンシ窓の通過帯域を決定する(ステップS44)。具体的には、当該結果から得られたケフレンシ成分を基準として、ケフレンシ窓の通過帯域を決定する。
【0060】
続いて、ケプストラム解析部3で、サイドチャネル情報測定部2が測定したサイドチャネル情報に対してケフレンシ系列への変換、ステップS44にて通過帯域決定部4が決定したケフレンシ窓の通過帯域に基づいたフィルタリング、およびスペクトル系列の算出といったケプストラム解析を行い、ケプストラム解析済みのサイドチャネル情報を出力する(ステップS45)。
【0061】
最後に、ケプストラム解析部3から出力されてきたサイドチャネル情報を用いて、DSCA耐性評価部5において、評価対象のDSCA耐性評価を実施する(ステップS46)。
【0062】
第1の評価方法との違いは、一度ケプストラムを用いてDSCAを実施して、その結果に基づいて通過帯域決定部4におけるケフレンシ窓の通過帯域の決定を行う点である。
【0063】
ケプストラムを用いたDSCAにおいて、正しい秘密情報を推測した場合には、特定のケフレンシ成分において高いピーク(強度)が発生する。このピークが発生したケフレンシ成分を基準として通過帯域決定部4におけるケフレンシ窓の通過帯域として決定する。つまり、通過帯域決定部4は、サイドチャネル情報測定部2が測定したサイドチャネル情報のケプストラムにおいて、高い強度を持つケフレンシ成分に基づいてケフレンシ窓の通過帯域を決定する。
【0064】
DSCAの結果におけるピーク位置を基準とする場合の帯域としては、そのピーク近傍のみを通過させる、ピーク近傍とピーク以下のケフレンシ帯域のみ通過させる、ピーク近傍とピーク以上のケフレンシ帯域のみ通過させるといったものが考えられる。
【0065】
解析結果から得られるケフレンシ成分をケフレンシ窓の通過帯域としてフィルタリングを行うことで、DSCAに最適なケプストラム解析を実現でき、高精度なサイドチャネル攻撃耐性評価が可能となる。
(実施例)
上述した第4の評価方法において、暗号を実施可能な評価ボード(暗号装置1)においてDESを実装し、オシロスコープ(サイドチャネル情報測定部2)を用いて、暗号処理中の評価ボードから漏洩する電磁波(サイドチャネル情報)を測定し、測定した電磁波波形を用いてサイドチャネル攻撃耐性を評価する場合を例に挙げて説明する。
【0066】
まず、評価ボードにDESを実装し、複数の平文に対して暗号処理を実施し、それぞれの平文に対応する漏洩電磁波を測定する。
【0067】
図7は、図1に示したサイドチャネル情報測定部2にて測定した漏洩電磁波の波形を示す図である。
【0068】
続いて、測定した全ての電磁波波形に対してケプストラム変換処理を実施する。
【0069】
図8は、図7に示した電磁波波形に対してケプストラム変換処理を実施した波形を示す図である。
【0070】
図7に示した電磁波波形に対してケプストラム変換処理を施すことで、図8に示すようなケフレンシ対振幅の波形を得る。
【0071】
次に、求めたケプストラムに対して、DSCAを実施する。ここで、DESへのDSCA解析では、選択関数としてDESの最終の16ラウンドにおけるF関数内のS−BOX出力を用いる。F関数は8種類のS−BOXを有し,各S−BOXは6ビット入力4ビット出力の非線形テーブルを持っており、各S−BOXの出力4ビットについて1ビットずつ選択関数を定義し、計32種類の選択関数に対して32通りの解析を実施する。1つの選択関数においては、各S−BOXの入力である6ビットに対応する64通りの秘密情報が推測される。ここでは、32種類ある選択関数のうち、任意の1種類の選択関数を用いてDSCAを実施する。
【0072】
DSCAを実施した結果、正しい秘密情報が推測された場合において差分波形が得られる。
【0073】
図9は、図8に示した波形に対してDSCAを実施した結果、正しい秘密情報が推測された場合の差分波形を示す図である。
【0074】
次に、この差分波形において高いピーク(強度)を示しているケプストラム成分を選択し、ケフレンシ窓の通過帯域とする。ここで、通過帯域の選択方法としては、最も高いピークである50近傍となる25〜75を通過帯域として選択した。
【0075】
続けて、決定したケフレンシ窓の通過帯域に基づいて、図8に示したケプストラムに対してフィルタリングを実施する。そして、DFTを実施し、さらに指数計算を行うことで、ケプストラム解析済みのスペクトル系列を得る。
【0076】
図10は、図8に示したケプストラムに対して、決定したケフレンシ窓の通過帯域でフィルタリング、DFT及び指数計算を行って得たスペクトル系列を示す図である。
【0077】
そして、得られたスペクトル系列に対してDSCAを実施する。ここでは、計32種類の選択関数に対して32通りの解析を実施し、それぞれで64通りの秘密情報を推測する。最後に、DSCAの結果によって、サイドチャネル攻撃耐性の評価を行う。
【0078】
なお、上述した「評価」とは、ケプストラム解析部3における解析の結果得られた値と、あらかじめ設定されている条件とを比較することにより、暗号装置1のサイドチャネル攻撃への可否を判定するものである。例えば、ケプストラム解析部3における解析の結果得られた値が、あらかじめ設定されている条件を満たすものである場合、暗号装置1のサイドチャネル攻撃への耐性があると判定する。
【0079】
このように本発明においては、ケプストラム解析によりサイドチャネル情報に畳込まれた不要な信号を除去することで、高精度な耐タンパ性評価を可能とする。
【0080】
上述したサイドチャネル攻撃耐性評価装置6に設けられた各構成要素が行う処理は、目的に応じてそれぞれ作製された論理回路で行うようにしても良い。また、処理内容を手順として記述したコンピュータプログラム(以下、プログラムと称する)をサイドチャネル攻撃耐性評価装置6にて読取可能な記録媒体に記録し、この記録媒体に記録されたプログラムをサイドチャネル攻撃耐性評価装置6に読み込ませ、実行するものであっても良い。サイドチャネル攻撃耐性評価装置6にて読取可能な記録媒体とは、フロッピー(登録商標)ディスク、光磁気ディスク、DVD、CDなどの移設可能な記録媒体の他、サイドチャネル攻撃耐性評価装置6に内蔵されたROM、RAM等のメモリやHDD等を指す。この記録媒体に記録されたプログラムは、サイドチャネル攻撃耐性評価装置6に設けられたCPU(不図示)にて読み込まれ、CPUの制御によって、上述したものと同様の処理が行われる。ここで、CPUは、プログラムが記録された記録媒体から読み込まれたプログラムを実行するコンピュータとして動作するものである。
【符号の説明】
【0081】
1 暗号装置
2 サイドチャネル情報測定部
3 ケプストラム解析部
4 通過帯域決定部
5 差分サイドチャネル攻撃耐性評価部
6 サイドチャネル攻撃耐性評価装置
【技術分野】
【0001】
本発明は、サイドチャネル攻撃への耐性評価を実施するサイドチャネル攻撃耐性評価装置、サイドチャネル攻撃耐性評価方法およびプログラムに関し、特に、暗号装置から漏洩するサイドチャネル情報を用いてサイドチャネル攻撃への耐性評価を実施するサイドチャネル攻撃耐性評価装置、サイドチャネル攻撃耐性評価方法およびプログラムに関する。
【背景技術】
【0002】
情報の電子データ化が進む中で、情報の保護、秘匿な通信において、暗号はかかせない技術となっている。暗号はその安全性を保つために、鍵等の秘匿情報が容易に推測できないようにする必要がある。鍵の全数探索や数学的に解読を行う線形解読や差分解読等といった暗号解析方法が知られているが、現実的な時間での解析は不可能な状況といえる。
【0003】
その一方で、暗号機能付きのICカードや携帯端末などの暗号を実装した装置において、攻撃者が処理時間や消費電力などのサイドチャネル情報を精密に測定できるとの仮定の下で、サイドチャネル情報から秘匿情報の取得を試みるサイドチャネル攻撃とその対策とが大きな研究テーマとなっている。サイドチャネル情報には、攻撃対象である暗号装置内で実行されている処理やデータに関する情報が含まれており、サイドチャネル情報を解析することで、暗号アルゴリズム、処理タイミング、秘密鍵の推定が可能である。このサイドチャネル攻撃の中で、特に強力な攻撃手法として、複数のサイドチャネル情報に対する統計処理によりノイズ等の影響を抑えて秘密情報を推定する差分サイドチャネル解析(Differential Side−Channel Analysis:以下、DSCAと称する)がある。DSCAには攻撃に用いるサイドチャネル情報の種類によっていくつかの手法があり、消費電力を用いる場合は電力差分解析(Differential Power Analysis:以下、DPAと称する)(例えば、非特許文献1参照。)、電磁波を用いる場合は電磁波差分解析(Differential Electro−Magnetic Analysis:以下、DEMAと称する)(例えば、非特許文献2参照。)と呼ばれるものが存在する。
【0004】
暗号を実装した装置においては、実用上、サイドチャネル攻撃に対する攻撃耐性(耐タンパ性)が求められる。そのため、サイドチャネル情報から暗号アルゴリズムなどの秘匿情報の推定を困難にする耐タンパ技術の研究がすすめられている。ここで、耐タンパ性とは攻撃に対して、秘匿情報の漏洩や機能の改変を防ぐ性能のことである。耐タンパ技術として、恣意的にサイドチャネル情報に不要な情報を付加することで、サイドチャネル情報から秘匿情報の漏洩を防ぐ耐タンパ手法(例えば、特許文献1参照。)等が提案されている。ここで、上記のような耐タンパ手法を適用することで実際にサイドチャネル攻撃への耐性が向上しているか、耐タンパ手法の有効性を評価する必要がある。
【0005】
また、実装された暗号装置が本当に安全なのかどうかを確認するため、サイドチャネル攻撃に対する耐性を評価する技術が求められている(例えば、非特許文献3参照)。
【0006】
しかしながら、サイドチャネル攻撃耐性を評価するさいに、測定ノイズや環境ノイズなど不要な情報がサイドチャネル情報に加わったり、測定タイミングのズレによって測定波形にズレが発生したりすることで、耐性評価に使用する秘匿情報を示す特徴をサイドチャネル情報から抽出できないことがある。よって、正確にサイドチャネル攻撃耐性を評価するためには、サイドチャネル情報に含まれる不要な情報の除去やズレの補正など、対策が求められる。
【0007】
位置ズレの影響を軽減する手法としては、周波数差分解析(Differential Frequency Analysis:以下、DFAと称する)(例えば、非特許文献4参照。)がある。
【0008】
DFAは、時間領域にて測定されたサイドチャネル情報に対して離散フーリエ変換(Discrete Fourier Transform:以下、DFTと称する)により周波数領域に変換することで周波数成分毎の強度(パワースペクトル)を求め、そのパワースペクトルに対してDSCAを実施する手法であり、測定時の時間上のズレに対して効果がある。
【先行技術文献】
【特許文献】
【0009】
【特許文献1】特開2007−116215号公報
【非特許文献】
【0010】
【非特許文献1】P. Kocher, J. Jaffe, and B. Jun, "Introduction to Differential Power Analysis and Related Attacks, ", 1998.
【非特許文献2】K. Gandolfi, C. Mourtel, and F. Olivier, "Electromagnetic Analysis: Concrete Results," CHES 2001, LNCS 2162, pp.251-262, 2001.
【非特許文献3】今井秀樹"情報セキュリティ −安全・安心な社会のために−",電子情報通信学会誌,2007年,Vol.90,No.5,pp.334−339
【非特許文献4】C. Gebotys, A. Tiu, "EM Analysis of Rijndael and ECC on a Wireless Java-based PDA,"CHES 2005, LNCS 3659, pp. 250-625, 2005.
【発明の概要】
【発明が解決しようとする課題】
【0011】
暗号装置のDSCAに対する耐タンパ性評価においては、測定時の位置ズレや他の信号源の影響の無いサイドチャネル情報に対して実施することが望ましい。
【0012】
しかし、上記で示したDFAは測定時の位置ズレに対しては効果があるものの複数の信号源が畳込まれている場合について考慮されていない。
【0013】
本発明の目的は、上述した課題を解決するサイドチャネル攻撃耐性評価装置、サイドチャネル攻撃耐性評価方法およびプログラムを提供することである。
【課題を解決するための手段】
【0014】
本発明のサイドチャネル攻撃耐性評価装置は、
暗号装置から漏洩するサイドチャネル情報を用いて暗号化の内部処理や秘匿情報を解析するサイドチャネル攻撃耐性評価装置であって、
評価対象の暗号装置から漏洩するサイドチャネル情報を測定するサイドチャネル情報測定部と、
ケフレンシ窓の通過帯域を決定する通過帯域決定部と、
前記サイドチャネル情報測定部が測定したサイドチャネル情報に対して、前記ケフレンシ窓の通過帯域に基づいて、ケプストラム解析を実施するケプストラム解析部と、
前記ケプストラム解析部にて解析されたサイドチャネル情報に基づいて、評価対象の前記暗号装置のサイドチャネル攻撃への耐性の可否を判定する差分サイドチャネル攻撃耐性評価部とを有する。
【0015】
また、本発明のサイドチャネル攻撃耐性評価方法は、
暗号装置から漏洩するサイドチャネル情報を用いて暗号化の内部処理や秘匿情報を解析するサイドチャネル攻撃耐性評価方法であって、
評価対象の暗号装置から漏洩するサイドチャネル情報を測定する処理と、
ケフレンシ窓の通過帯域を決定する処理と、
前記測定したサイドチャネル情報に対して、前記ケフレンシ窓の通過帯域に基づいて、ケプストラム解析を実施する処理と、
前記解析されたサイドチャネル情報に基づいて、評価対象の前記暗号装置のサイドチャネル攻撃への耐性の可否を判定する処理とを行う。
【0016】
また、本発明のプログラムは、
暗号装置から漏洩するサイドチャネル情報を用いて暗号化の内部処理や秘匿情報を解析するサイドチャネル攻撃耐性評価装置に実行させるためのプログラムであって、
評価対象の暗号装置から漏洩するサイドチャネル情報を測定する手順と、
ケフレンシ窓の通過帯域を決定する手順と、
前記測定したサイドチャネル情報に対して、前記ケフレンシ窓の通過帯域に基づいて、ケプストラム解析を実施する手順と、
前記解析されたサイドチャネル情報に基づいて、評価対象の前記暗号装置のサイドチャネル攻撃への耐性の可否を判定する手順とを実行させる。
【発明の効果】
【0017】
以上説明したように、本発明においては、測定されたサイドチャネル情報に対してケプストラム解析を実施することで、秘密情報に関わる信号源とそれ以外のノイズとなる信号源との分離ができ、耐性評価精度を向上させることができる。
【図面の簡単な説明】
【0018】
【図1】本発明を適用可能な実施形態に係るサイドチャネル攻撃耐性評価装置の概略構成の一例を示す図である。
【図2】図1に示した形態における第1の差分サイドチャネル攻撃耐性評価方法を説明するためのフローチャートである。
【図3】図1に示した形態における第2の差分サイドチャネル攻撃耐性評価方法を説明するためのフローチャートである。
【図4】図1に示した形態における第3の差分サイドチャネル攻撃耐性評価方法の一例を説明するためのフローチャートである。
【図5】図1に示した形態における第3の差分サイドチャネル攻撃耐性評価方法の他の例を説明するためのフローチャートである。
【図6】図1に示した形態における第4の差分サイドチャネル攻撃耐性評価方法を説明するためのフローチャートである。
【図7】図1に示したサイドチャネル情報測定部にて測定した漏洩電磁波の波形を示す図である。
【図8】図7に示した電磁波波形に対してケプストラム変換処理を実施した波形を示す図である。
【図9】図8に示した波形に対してDSCAを実施した結果、正しい秘密情報が推測された場合の差分波形を示す図である。
【図10】図8に示したケプストラムに対して、決定したケフレンシ窓の通過帯域でフィルタリング、DFT及び指数計算を行って得たスペクトル系列を示す図である。
【発明を実施するための形態】
【0019】
以下に、本発明を実施するための形態について、図面を参照して詳細に説明する。
【0020】
図1は、本発明を適用可能な実施形態に係るサイドチャネル攻撃耐性評価装置の概略構成の一例を示す図である。
【0021】
図1を参照すると、サイドチャネル攻撃耐性評価装置6には、評価対象の暗号装置1のサイドチャネル情報を測定するサイドチャネル情報測定部2と、サイドチャネル情報測定部2で測定したサイドチャネル情報に対してケプストラム解析を行うケプストラム解析部3と、ケプストラム解析部3にて行われるケプストラム解析におけるケフレンシ窓の最適な通過帯域を決定する通過帯域決定部4と、DSCAに対する耐性を評価する差分サイドチャネル攻撃耐性評価部であるDSCA耐性評価部5とが設けられている。
【0022】
暗号装置1は、平文に対する暗号化や暗号文に対する復号化等の暗復号処理を行う装置である。また、暗号装置1は、暗復号処理を実行する種々の情報処理装置が採用可能である。例えば、暗号装置1は、パーソナルコンピュータ(PC)、携帯端末、ICカード等であっても良い。
【0023】
サイドチャネル情報測定部2は、暗号装置1が暗復号処理を実施する際に漏洩するサイドチャネル情報を測定する。サイドチャネル情報は、暗号装置1において内部の処理に影響を受ける種々の情報が採用可能である。例えば、電力、電磁波、音、温度等であっても良い。ここで、例えば、電磁波をサイドチャネル情報として用いる場合は、サイドチャネル情報測定部2は、オシロスコープやスペクトラムアナライザ等の測定装置であっても良い。
【0024】
ケプストラム解析部3は、サイドチャネル情報測定部2にて測定したサイドチャネル情報に基づいて、DFTやInverse−DFT(以下、IDFTと称する)、対数変換を用いてケプストラム系列を求める。そして、ケプストラム解析部3は、ケフレンシ系列に対し、ケフレンシ窓を用いてフィルタリング処理を行う。また、ケプストラム解析部3は、フィルタリング処理の結果に対してDFTを用いることで対数振幅スペクトル系列へ変換する。また、ケプストラム解析部3は、対数振幅スペクトル系列への変換結果を指数計算することで、ケプストラム解析済みのスペクトル系列を得る。
【0025】
なお、ケプストラムの計算方法としては、一般的に様々なものが存在する。ケプストラム解析部3は、それらの中でいずれかの方法を用いてケフレンシ系列やケプストラム解析済みのスペクトル系列を得るものとする。
【0026】
ケプストラム解析部3からDSCA耐性評価部5へ、実施形態に応じて、ケプストラム系列やケプストラム解析済みのスペクトル系列を出力する。なお、ケフレンシ窓の通過帯域は通過帯域決定部4により決定される。ケプストラム系列へ変換することで、畳込まれている信号が異なるケフレンシ領域に出現することになる。ケプストラム系列のままDSCAを行った場合には、DSCAに関連するケフレンシの帯域においてピークが出現し、秘密情報を得ることができる。また、ケプストラム系列に対してケフレンシ窓を掛けることで、畳込まれている信号を分離することができる。そのため、DSCAに関連する成分のみ取り出すことで、畳込まれていた成分の影響を軽減することができ、DSCAの精度が向上する。
【0027】
通過帯域決定部4は、ケプストラム解析部3にて使用されるケフレンシ窓の通過帯域を決定する手段である。決定方法として、装置のユーザが入力する方法、データベースに登録してある情報から引用する方法、一度サイドチャネル情報測定部2で測定されたサイドチャネル情報から決定する方法、DSCA耐性評価部5における評価結果に応じて決定する方法などが考えられる。
【0028】
DSCA耐性評価部5は、ケプストラム解析部3にて処理されたサイドチャネル情報に対してDSCAを実施し、秘密情報の導出の可否や秘密情報の導出に必要なサイドチャネル情報量について評価を行う。
【0029】
このような構成を有するサイドチャネル攻撃耐性評価装置6は、サイドチャネル攻撃耐性評価装置6は、暗号装置1から漏洩するサイドチャネル情報を用いて暗号化の内部処理や秘匿情報を解析する。
(第1の評価方法)
続いて、本形態における第1の差分サイドチャネル攻撃耐性評価方法について説明する。
【0030】
図2は、図1に示した形態における第1の差分サイドチャネル攻撃耐性評価方法を説明するためのフローチャートである。
【0031】
まず、評価対象の暗号装置1から漏洩するサイドチャネル情報をサイドチャネル情報測定部2で測定する(ステップS1)。
【0032】
次に、通過帯域決定部4でケフレンシ窓の通過帯域を決定する(ステップS2)。
【0033】
続いて、ケプストラム解析部3で、サイドチャネル情報測定部2が測定したサイドチャネル情報に対してケフレンシ系列への変換、通過帯域決定部4が決定したケフレンシ窓の通過帯域に基づいたフィルタリング、およびスペクトル系列の算出といったケプストラム解析を行い、ケプストラム解析済みのサイドチャネル情報を出力する(ステップS3)。
【0034】
最後に、ケプストラム解析部3から出力されてきたサイドチャネル情報を用いて、DSCA耐性評価部5において、評価対象のDSCA耐性評価を実施する(ステップS4)。
【0035】
このように、ケプストラム解析を実施し、秘密情報に関わる信号源とそれ以外のノイズとなる信号源の分離することで、耐性の評価精度が向上する。
(第2の評価方法)
続いて、本形態における第2の差分サイドチャネル攻撃耐性評価方法について説明する。
【0036】
図3は、図1に示した形態における第2の差分サイドチャネル攻撃耐性評価方法を説明するためのフローチャートである。
【0037】
まず、評価対象の暗号装置1から漏洩するサイドチャネル情報をサイドチャネル情報測定部2で測定する(ステップS11)。
【0038】
次に、ケプストラム解析部3で、サイドチャネル情報測定部2が測定したサイドチャネル情報に対してケフレンシ系列への変換(ケプストラム変換)を行い、サイドチャネル情報のケプストラムを出力する(ステップS12)。
【0039】
最後に、ケプストラム解析部3から出力されてきたサイドチャネル情報のケプストラムを用いて、DSCA耐性評価部5において、評価対象のDSCA耐性評価を実施する(ステップS13)。
【0040】
このように、サイドチャネル情報をケフレンシ系列へ変換することで、秘密情報に関わる信号源とそれ以外のノイズとなる信号源がケフレンシ上で分離しており、それにより耐性の評価精度が向上する。
(第3の評価方法)
続いて、本形態における第3の差分サイドチャネル攻撃耐性評価方法について説明する。
【0041】
図4は、図1に示した形態における第3の差分サイドチャネル攻撃耐性評価方法の一例を説明するためのフローチャートである。
【0042】
まず、評価対象の暗号装置1から漏洩するサイドチャネル情報をサイドチャネル情報測定部2で測定する(ステップS21)。
【0043】
次に、通過帯域決定部4で、サイドチャネル情報測定部2が測定したサイドチャネル情報に応じて、ケフレンシ窓の通過帯域を決定する(ステップS22)。
【0044】
続いて、ケプストラム解析部3で、サイドチャネル情報測定部2が測定したサイドチャネル情報に対してケフレンシ系列への変換、通過帯域決定部4が決定したケフレンシ窓の通過帯域に基づいたフィルタリング、およびスペクトル系列の算出といったケプストラム解析を行い、ケプストラム解析済みのサイドチャネル情報を出力する(ステップS23)。
【0045】
最後に、ケプストラム解析部3から出力されてきたサイドチャネル情報を用いて、DSCA耐性評価部5において、評価対象のDSCA耐性評価を実施する(ステップS24)。
【0046】
第1の評価方法との違いは、通過帯域決定部4におけるケフレンシ窓の通過帯域の決定に、サイドチャネル情報測定部2で測定したサイドチャネル情報を用いる点である。
【0047】
このように、サイドチャネル情報からケフレンシ窓の通過帯域を決定することで、DSCAに適したケフレンシ窓の通過帯域を決定することができ、その結果、耐性の評価精度が向上する。
【0048】
なお、サイドチャネル情報を用いたケフレンシ窓の通過帯域の決定方法として、一度ケフレンシ系列へ変換し、ケフレンシ系列に出現するピーク位置を基準として決定する方法が考えられる。
【0049】
図5は、図1に示した形態における第3の差分サイドチャネル攻撃耐性評価方法の他の例を説明するためのフローチャートである。
【0050】
まず、評価対象の暗号装置1から漏洩するサイドチャネル情報をサイドチャネル情報測定部2で測定する(ステップS31)。
【0051】
次に、通過帯域決定部4で、サイドチャネル情報測定部2が測定したサイドチャネル情報に対してケフレンシ系列への変換を行い(ステップS32)、ケフレンシ系列のピーク位置を基準としてケフレンシ窓の通過帯域を決定する(ステップS33)。
【0052】
ケフレンシ系列のピーク位置を基準とする場合の帯域としては、そのピーク近傍のみを通過させる、ピークより下のケフレンシ帯域のみ通過させる、ピークより上のケフレンシ帯域のみ通過させるといったものが考えられる。
【0053】
続いて、ケプストラム解析部3で、通過帯域決定部4が決定したケフレンシ窓の通過帯域に基づいたフィルタリング、およびスペクトル系列の算出といったケプストラム解析を行い、ケプストラム解析済みのサイドチャネル情報を出力する(ステップS34)。
【0054】
最後に、ケプストラム解析部3から出力されてきたサイドチャネル情報を用いて、DSCA耐性評価部5において、評価対象のDSCA耐性評価を実施する(ステップS35)。
(第4の評価方法)
続いて、本形態における第4の差分サイドチャネル攻撃耐性評価方法について説明する。
【0055】
図6は、図1に示した形態における第4の差分サイドチャネル攻撃耐性評価方法を説明するためのフローチャートである。
【0056】
まず、評価対象の暗号装置1から漏洩するサイドチャネル情報をサイドチャネル情報測定部2で測定する(ステップS41)。
【0057】
次に、ケプストラム解析部3で、サイドチャネル情報測定部2が測定したサイドチャネル情報に対してケフレンシ系列への変換を行い、サイドチャネル情報のケプストラムを出力する(ステップS42)。
【0058】
そして、ケプストラム解析部3から出力されてきたサイドチャネル情報のケプストラムを用いて、DSCA耐性評価部5において、評価対象のDSCA耐性評価を実施する(ステップS43)。
【0059】
続けて、評価結果を通過帯域決定部4へ出力し、通過帯域決定部4にて評価結果に応じてケフレンシ窓の通過帯域を決定する(ステップS44)。具体的には、当該結果から得られたケフレンシ成分を基準として、ケフレンシ窓の通過帯域を決定する。
【0060】
続いて、ケプストラム解析部3で、サイドチャネル情報測定部2が測定したサイドチャネル情報に対してケフレンシ系列への変換、ステップS44にて通過帯域決定部4が決定したケフレンシ窓の通過帯域に基づいたフィルタリング、およびスペクトル系列の算出といったケプストラム解析を行い、ケプストラム解析済みのサイドチャネル情報を出力する(ステップS45)。
【0061】
最後に、ケプストラム解析部3から出力されてきたサイドチャネル情報を用いて、DSCA耐性評価部5において、評価対象のDSCA耐性評価を実施する(ステップS46)。
【0062】
第1の評価方法との違いは、一度ケプストラムを用いてDSCAを実施して、その結果に基づいて通過帯域決定部4におけるケフレンシ窓の通過帯域の決定を行う点である。
【0063】
ケプストラムを用いたDSCAにおいて、正しい秘密情報を推測した場合には、特定のケフレンシ成分において高いピーク(強度)が発生する。このピークが発生したケフレンシ成分を基準として通過帯域決定部4におけるケフレンシ窓の通過帯域として決定する。つまり、通過帯域決定部4は、サイドチャネル情報測定部2が測定したサイドチャネル情報のケプストラムにおいて、高い強度を持つケフレンシ成分に基づいてケフレンシ窓の通過帯域を決定する。
【0064】
DSCAの結果におけるピーク位置を基準とする場合の帯域としては、そのピーク近傍のみを通過させる、ピーク近傍とピーク以下のケフレンシ帯域のみ通過させる、ピーク近傍とピーク以上のケフレンシ帯域のみ通過させるといったものが考えられる。
【0065】
解析結果から得られるケフレンシ成分をケフレンシ窓の通過帯域としてフィルタリングを行うことで、DSCAに最適なケプストラム解析を実現でき、高精度なサイドチャネル攻撃耐性評価が可能となる。
(実施例)
上述した第4の評価方法において、暗号を実施可能な評価ボード(暗号装置1)においてDESを実装し、オシロスコープ(サイドチャネル情報測定部2)を用いて、暗号処理中の評価ボードから漏洩する電磁波(サイドチャネル情報)を測定し、測定した電磁波波形を用いてサイドチャネル攻撃耐性を評価する場合を例に挙げて説明する。
【0066】
まず、評価ボードにDESを実装し、複数の平文に対して暗号処理を実施し、それぞれの平文に対応する漏洩電磁波を測定する。
【0067】
図7は、図1に示したサイドチャネル情報測定部2にて測定した漏洩電磁波の波形を示す図である。
【0068】
続いて、測定した全ての電磁波波形に対してケプストラム変換処理を実施する。
【0069】
図8は、図7に示した電磁波波形に対してケプストラム変換処理を実施した波形を示す図である。
【0070】
図7に示した電磁波波形に対してケプストラム変換処理を施すことで、図8に示すようなケフレンシ対振幅の波形を得る。
【0071】
次に、求めたケプストラムに対して、DSCAを実施する。ここで、DESへのDSCA解析では、選択関数としてDESの最終の16ラウンドにおけるF関数内のS−BOX出力を用いる。F関数は8種類のS−BOXを有し,各S−BOXは6ビット入力4ビット出力の非線形テーブルを持っており、各S−BOXの出力4ビットについて1ビットずつ選択関数を定義し、計32種類の選択関数に対して32通りの解析を実施する。1つの選択関数においては、各S−BOXの入力である6ビットに対応する64通りの秘密情報が推測される。ここでは、32種類ある選択関数のうち、任意の1種類の選択関数を用いてDSCAを実施する。
【0072】
DSCAを実施した結果、正しい秘密情報が推測された場合において差分波形が得られる。
【0073】
図9は、図8に示した波形に対してDSCAを実施した結果、正しい秘密情報が推測された場合の差分波形を示す図である。
【0074】
次に、この差分波形において高いピーク(強度)を示しているケプストラム成分を選択し、ケフレンシ窓の通過帯域とする。ここで、通過帯域の選択方法としては、最も高いピークである50近傍となる25〜75を通過帯域として選択した。
【0075】
続けて、決定したケフレンシ窓の通過帯域に基づいて、図8に示したケプストラムに対してフィルタリングを実施する。そして、DFTを実施し、さらに指数計算を行うことで、ケプストラム解析済みのスペクトル系列を得る。
【0076】
図10は、図8に示したケプストラムに対して、決定したケフレンシ窓の通過帯域でフィルタリング、DFT及び指数計算を行って得たスペクトル系列を示す図である。
【0077】
そして、得られたスペクトル系列に対してDSCAを実施する。ここでは、計32種類の選択関数に対して32通りの解析を実施し、それぞれで64通りの秘密情報を推測する。最後に、DSCAの結果によって、サイドチャネル攻撃耐性の評価を行う。
【0078】
なお、上述した「評価」とは、ケプストラム解析部3における解析の結果得られた値と、あらかじめ設定されている条件とを比較することにより、暗号装置1のサイドチャネル攻撃への可否を判定するものである。例えば、ケプストラム解析部3における解析の結果得られた値が、あらかじめ設定されている条件を満たすものである場合、暗号装置1のサイドチャネル攻撃への耐性があると判定する。
【0079】
このように本発明においては、ケプストラム解析によりサイドチャネル情報に畳込まれた不要な信号を除去することで、高精度な耐タンパ性評価を可能とする。
【0080】
上述したサイドチャネル攻撃耐性評価装置6に設けられた各構成要素が行う処理は、目的に応じてそれぞれ作製された論理回路で行うようにしても良い。また、処理内容を手順として記述したコンピュータプログラム(以下、プログラムと称する)をサイドチャネル攻撃耐性評価装置6にて読取可能な記録媒体に記録し、この記録媒体に記録されたプログラムをサイドチャネル攻撃耐性評価装置6に読み込ませ、実行するものであっても良い。サイドチャネル攻撃耐性評価装置6にて読取可能な記録媒体とは、フロッピー(登録商標)ディスク、光磁気ディスク、DVD、CDなどの移設可能な記録媒体の他、サイドチャネル攻撃耐性評価装置6に内蔵されたROM、RAM等のメモリやHDD等を指す。この記録媒体に記録されたプログラムは、サイドチャネル攻撃耐性評価装置6に設けられたCPU(不図示)にて読み込まれ、CPUの制御によって、上述したものと同様の処理が行われる。ここで、CPUは、プログラムが記録された記録媒体から読み込まれたプログラムを実行するコンピュータとして動作するものである。
【符号の説明】
【0081】
1 暗号装置
2 サイドチャネル情報測定部
3 ケプストラム解析部
4 通過帯域決定部
5 差分サイドチャネル攻撃耐性評価部
6 サイドチャネル攻撃耐性評価装置
【特許請求の範囲】
【請求項1】
暗号装置から漏洩するサイドチャネル情報を用いて暗号化の内部処理や秘匿情報を解析するサイドチャネル攻撃耐性評価装置であって、
評価対象の暗号装置から漏洩するサイドチャネル情報を測定するサイドチャネル情報測定部と、
ケフレンシ窓の通過帯域を決定する通過帯域決定部と、
前記サイドチャネル情報測定部が測定したサイドチャネル情報に対して、前記ケフレンシ窓の通過帯域に基づいて、ケプストラム解析を実施するケプストラム解析部と、
前記ケプストラム解析部にて解析されたサイドチャネル情報に基づいて、評価対象の前記暗号装置のサイドチャネル攻撃への耐性の可否を判定する差分サイドチャネル攻撃耐性評価部とを有するサイドチャネル攻撃耐性評価装置。
【請求項2】
請求項1記載のサイドチャネル攻撃耐性評価装置において、
前記ケプストラム解析部は、前記サイドチャネル情報測定部が測定したサイドチャネル情報のケプストラム変換を実施し、
前記差分サイドチャネル攻撃耐性評価部は、前記ケプストラム変換が実施されたサイドチャネル情報に対して、差分サイドチャネル攻撃耐性評価を実施することを特徴とするサイドチャネル攻撃耐性評価装置。
【請求項3】
請求項1記載のサイドチャネル攻撃耐性評価装置において、
前記通過帯域決定部は、前記サイドチャネル情報測定部が測定したサイドチャネル情報に基づいて、前記ケフレンシ窓の通過帯域を決定することを特徴とするサイドチャネル攻撃耐性評価装置。
【請求項4】
請求項3記載のサイドチャネル攻撃耐性評価装置において、
前記通過帯域決定部は、前記サイドチャネル情報測定部が測定したサイドチャネル情報のケプストラムにおいて、高い強度を持つケフレンシ成分に基づいて、前記ケフレンシ窓の通過帯域を決定することを特徴とするサイドチャネル攻撃耐性評価装置。
【請求項5】
請求項1記載のサイドチャネル攻撃耐性評価装置において、
前記通過帯域決定部は、前記サイドチャネル情報測定部が測定したサイドチャネル情報のケプストラムに対して、差分サイドチャネル解析を実施し、該解析の結果から得られたケフレンシ成分を基準として、前記ケフレンシ窓の通過帯域を決定することを特徴とするサイドチャネル攻撃耐性評価装置。
【請求項6】
暗号装置から漏洩するサイドチャネル情報を用いて暗号化の内部処理や秘匿情報を解析するサイドチャネル攻撃耐性評価方法であって、
評価対象の暗号装置から漏洩するサイドチャネル情報を測定する処理と、
ケフレンシ窓の通過帯域を決定する処理と、
前記測定したサイドチャネル情報に対して、前記ケフレンシ窓の通過帯域に基づいて、ケプストラム解析を実施する処理と、
前記解析されたサイドチャネル情報に基づいて、評価対象の前記暗号装置のサイドチャネル攻撃への耐性の可否を判定する処理とを行うサイドチャネル攻撃耐性評価方法。
【請求項7】
暗号装置から漏洩するサイドチャネル情報を用いて暗号化の内部処理や秘匿情報を解析するサイドチャネル攻撃耐性評価装置に、
評価対象の暗号装置から漏洩するサイドチャネル情報を測定する手順と、
ケフレンシ窓の通過帯域を決定する手順と、
前記測定したサイドチャネル情報に対して、前記ケフレンシ窓の通過帯域に基づいて、ケプストラム解析を実施する手順と、
前記解析されたサイドチャネル情報に基づいて、評価対象の前記暗号装置のサイドチャネル攻撃への耐性の可否を判定する手順とを実行させるためのプログラム。
【請求項1】
暗号装置から漏洩するサイドチャネル情報を用いて暗号化の内部処理や秘匿情報を解析するサイドチャネル攻撃耐性評価装置であって、
評価対象の暗号装置から漏洩するサイドチャネル情報を測定するサイドチャネル情報測定部と、
ケフレンシ窓の通過帯域を決定する通過帯域決定部と、
前記サイドチャネル情報測定部が測定したサイドチャネル情報に対して、前記ケフレンシ窓の通過帯域に基づいて、ケプストラム解析を実施するケプストラム解析部と、
前記ケプストラム解析部にて解析されたサイドチャネル情報に基づいて、評価対象の前記暗号装置のサイドチャネル攻撃への耐性の可否を判定する差分サイドチャネル攻撃耐性評価部とを有するサイドチャネル攻撃耐性評価装置。
【請求項2】
請求項1記載のサイドチャネル攻撃耐性評価装置において、
前記ケプストラム解析部は、前記サイドチャネル情報測定部が測定したサイドチャネル情報のケプストラム変換を実施し、
前記差分サイドチャネル攻撃耐性評価部は、前記ケプストラム変換が実施されたサイドチャネル情報に対して、差分サイドチャネル攻撃耐性評価を実施することを特徴とするサイドチャネル攻撃耐性評価装置。
【請求項3】
請求項1記載のサイドチャネル攻撃耐性評価装置において、
前記通過帯域決定部は、前記サイドチャネル情報測定部が測定したサイドチャネル情報に基づいて、前記ケフレンシ窓の通過帯域を決定することを特徴とするサイドチャネル攻撃耐性評価装置。
【請求項4】
請求項3記載のサイドチャネル攻撃耐性評価装置において、
前記通過帯域決定部は、前記サイドチャネル情報測定部が測定したサイドチャネル情報のケプストラムにおいて、高い強度を持つケフレンシ成分に基づいて、前記ケフレンシ窓の通過帯域を決定することを特徴とするサイドチャネル攻撃耐性評価装置。
【請求項5】
請求項1記載のサイドチャネル攻撃耐性評価装置において、
前記通過帯域決定部は、前記サイドチャネル情報測定部が測定したサイドチャネル情報のケプストラムに対して、差分サイドチャネル解析を実施し、該解析の結果から得られたケフレンシ成分を基準として、前記ケフレンシ窓の通過帯域を決定することを特徴とするサイドチャネル攻撃耐性評価装置。
【請求項6】
暗号装置から漏洩するサイドチャネル情報を用いて暗号化の内部処理や秘匿情報を解析するサイドチャネル攻撃耐性評価方法であって、
評価対象の暗号装置から漏洩するサイドチャネル情報を測定する処理と、
ケフレンシ窓の通過帯域を決定する処理と、
前記測定したサイドチャネル情報に対して、前記ケフレンシ窓の通過帯域に基づいて、ケプストラム解析を実施する処理と、
前記解析されたサイドチャネル情報に基づいて、評価対象の前記暗号装置のサイドチャネル攻撃への耐性の可否を判定する処理とを行うサイドチャネル攻撃耐性評価方法。
【請求項7】
暗号装置から漏洩するサイドチャネル情報を用いて暗号化の内部処理や秘匿情報を解析するサイドチャネル攻撃耐性評価装置に、
評価対象の暗号装置から漏洩するサイドチャネル情報を測定する手順と、
ケフレンシ窓の通過帯域を決定する手順と、
前記測定したサイドチャネル情報に対して、前記ケフレンシ窓の通過帯域に基づいて、ケプストラム解析を実施する手順と、
前記解析されたサイドチャネル情報に基づいて、評価対象の前記暗号装置のサイドチャネル攻撃への耐性の可否を判定する手順とを実行させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2012−80344(P2012−80344A)
【公開日】平成24年4月19日(2012.4.19)
【国際特許分類】
【出願番号】特願2010−223993(P2010−223993)
【出願日】平成22年10月1日(2010.10.1)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成24年4月19日(2012.4.19)
【国際特許分類】
【出願日】平成22年10月1日(2010.10.1)
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]