ElGamal暗号に基づく 暗号化制御則

電気通信大学 藤田 貴大，○長澤 知哉，小木曽 公尚

第59回システム制御情報学会研究発表講演会：SCI’15

発表概要

研究背景

動機・目的

暗号化制御則

ElGamal暗号

実装法

数値例

まとめ

2

研究背景

3

ネットワーク化制御系 インフラや工場などの大規模制御系に採用 各種デバイスがネットワーク上で相互接続

生産管理

品質管理

データ ロガー

Internet

制御器

コンソール

制御器

制御器

センサ

アクチュエータ

センサ

アクチュエータ

特徴 利点 … 監視・制御が容易，高度な制御理論を適用可能

[1] 新誠一. 2014.

欠点 … サイバー攻撃の脅威[1]

研究背景

4

制御系へのサイバー攻撃[2,3] 制御系内の重要情報を不正に取得，制御の妨害

[2] 情報処理振興事業協会. 2000. [3] Teixeira et al. 2010.

オペレータ制御入力運転指令

パラメータ制御対象制御器

モデル・運転状態 攻撃者

攻撃観測出力

攻撃例

制御系における盗聴対策が重要

運転妨害 … 制御系の情報を用い，制御を妨害信号の盗聴 … 制御系のモデル，運転状態，製造情報 パラメータの盗聴 … 制御系のモデル，設計ノウハウ

動機・目的

5

先行研究 通信路の暗号化による信号の保護[4,5]

RSA暗号による制御器内部の演算の暗号化[6]

[4] 木内ら. 2008. [5] Pang et al. 2011. [6] 藤田ら. 2014. [7] ElGamal. 1984.

問題点 RSA暗号の確定性により，制御系が定常状態に達した際に， 運転状況推測の恐れ[6]

制御系が定常状態に達した際にも， 暗号化が単調にならない手法が必要

研究目的 不確定性を有するElGamal暗号[7]に基づく暗号化制御則を提案

0 1 2 3 4 5−0.5

0

0.5

1

time [s]

outp

ut

: y

0

2

4

6

8

10x 10

7

encod

ed ou

tput : Enc(y)

暗号化制御則

6

u(t) = f (K, y(t)) , 8t 2 Z

u(t)：制御入力　K：パラメータ　y(t)：制御器への入力制御器

f (K, y(t))f (K, y(t))y(t)

制御対象u(t)

：整数集合

暗号化制御則 fE

制御対象

Enc

DecfE (Enc(K),Enc(y(t)))Enc (y(t)) Enc (u(t)) u(t)

fE (Enc(K),Enc(y(t))) = Enc (f(K, y(t))) , 8t 2 Z

定義：

[6] 藤田ら. 2014.

概念と定義[6] 暗号化制御則：制御器内部の演算を暗号化したまま行う手法

設定：制御器の制御則f

ElGamal暗号

7

アルゴリズム 暗号化 …

復号 …

Enc(m) = (gr mod p, m⇥ gsr mod p)g, p, s 2 Nr 2 N乱数Dec(c1, c2) = c2 ⇥ c�s

1 mod p

平文m, 暗号文c1, c2

鍵の変数= c2= c1

m 2 M ⇢ {1, 2, · · · , p� 1}

ex) m 2 {1, 2, 5, 9, · · · }

m1 = m2 Enc(m1) �= Enc(m2)

� は，pを法とした要素ごとの積

のとき

• 暗号化は，乱数rの影響により不確定

• 平文は，p未満の非負整数の間欠値の集合

Enc(m1m2) = Enc(m1) � Enc(m2)

特徴 • 乗法準同型性 …

ElGamal暗号に基づく暗号化制御則

8

比例制御則 制御入力は，比例ゲイン KP と信号 y の積

u(t) = f(KP , y(t)) = KP y(t)

fE (Enc(K),Enc(y(t))) = Enc (f(K, y(t))) , 8t 2 Zを満たす fEを求める

= Enc(KP y(t))

= Enc(f(KP , y(t)))

暗号化制御則 乗法準同型暗号 … Enc(m1) ⇤ Enc(m2) = Enc(m1m2)

fE (Enc(KP ),Enc(y(t))) = Enc(KP ) ⇤ Enc(y(t))

暗号化制御則は

� は，pを法とした要素ごとの積

暗号化制御則の実装

9

平文への変換 ElGamal暗号の平文信号・パラメータ

u(t), y(t), K 2 R �!変換

変換 固定小数点法 … y = b�ye , � 2 N

ElGamal暗号 … 剰余演算 モジュラ加法逆元の利用

y+ =

⇢y (y � 0)

y + n (y < 0)1

0

2

3

4

�1�2

n� 2

n� 1

m � {1, 2, · · · , p � 1}

数値例

10

シミュレーション条件

制御対象y(t) u(t)

f (K, y(t))

制御対象（離散化周期 10ms）

比例制御 f(KP , y(t)) = �8y(t)

設定 定数 … 平文への変換 …

g = 3, p = 134217827

y(t) = b28y+(t)eM

, s = 7221179

����

���

xp(t) =

�0 2

�2 �3

�xp(t) +

�01

�u(t)

y(t) =�1 0

�xp(t)

結果

11

0 1 2 3 4 5−0.5

0

0.5

1

time [s]

outp

ut

: y

0

5

10

15x 10

7encod

ed ou

tput : Enc(y)

数値例結果制御性能は大きく変化しない 平衡点近傍でも暗号文は複雑

−150

−100

−50

0

50

10−1

100

101

102

103

−270

−180

−90

0

90

180

frequency[rad/s]

gain

[dB

]phas

e[deg

]

original plantwithout encryptionwith encryption

暗号化制御則により システム同定が失敗

システム同定結果

まとめ

12

研究目的 • ElGamal暗号に基づく暗号化制御則を提案

結果 • ElGamal暗号の不確定性により，平衡点付近でも情報を秘匿 • 制御系の動特性を秘匿

今後の課題 • 計算量，計算時間，通信容量など，実現性の確認 • 他の制御則へ拡張の検討