Dependable VLSI Tamper Resistance

耐タンパディペンダブルVLSIシステムの開発・評価

～共通鍵暗号・PUFを使った認証技術～

立命館大学・産総研・名城大学・三菱電機

平成25年3月16日領域会議資料

1

藤野 毅 （立命館大学）

Dependable VLSI Tamper ResistanceDependable VLSI Tamper Resistance

セキュリティー応用分野の広がり

共通鍵暗号を用いた認証技術

悪意ある攻撃と対策手法

サイドチャネル攻撃対策暗号回路

暗号鍵の複製防止PUFデバイス

PUFを用いた簡易認証手法

最近の成果とDVLSI領域Webコンテンツの充実

内容 2

Dependable VLSI Tamper ResistanceDependable VLSI Tamper Resistance

通信相手が安全であることを確認する（認証）が重要

金融系ICカード

対策ICの安全性認証の仕組みが確立

機器認証

センサーネットワーク（HEMS with スマートグリッド）

車載セキュリティ

模造品防止

セキュリティー応用分野の拡大 3

Sensor network

Sensornode

Air conditioner

Illumination

Solar panel

Television

Wireless router

Energycontroller

Car Security（e.g EVITA Project)

Dependable VLSI Tamper ResistanceDependable VLSI Tamper Resistance

既存セキュリティ分野（ex.金融系ICカード）に対して

新しい情報リークに対する基礎的な知見の提供

PUFを付加したICのセキュリティー向上技術

タンパ性評価ツール・手法の開発

新しいセキュリティー分野に対して

既存LSIの設計フローと親和性の高い耐タンパAES暗号回路の設計・検証技術

PUFを用いた低コスト認証手法

耐タンパセキュリティ技術の啓蒙活動（評価ボード提供を含む）

当チームの出口目標 4

Dependable VLSI Tamper ResistanceDependable VLSI Tamper Resistance認証技術の原理 5

戦国時代？の合言葉（個人認証）「山」といえば「川」

チャレンジ・レスポンス認証という

問題点「リプレイ攻撃」同じ合言葉は２度使用できない

認証する回数だけ，合言葉を用意しなければならない

解決策同じ鍵を共有した暗号回路をそれぞれが持っていれば，平文

暗号文のペアはほぼ無限に作成できる．（次ページ）

山 川

味方だ

合言葉は山‐川か

リプレイ攻撃

山 川

味方だ

Dependable VLSI Tamper ResistanceDependable VLSI Tamper Resistance共通鍵暗号回路を使った認証原理 6

チャレンジ

レスポンス

暗号回路 暗号回路

乱数生成 受信乱数列

暗号化乱数列暗号化乱数列

認証装置で生成した乱数を，ICカードにチャレンジとして送付

ICカード上で復号化してレスポンスとして返信

レスポンスが暗号化乱数と等しければ，ＩＣカードは同じ秘密鍵を持つ正しいカードと判定する

共通鍵 共通鍵

一致？

Yes認証成功！

Dependable VLSI Tamper ResistanceDependable VLSI Tamper Resistance共通鍵暗号回路を使った認証への攻撃 7

暗号回路

レスポンス

チャレンジ

（Step1）秘密鍵を入手する秘密鍵を格納しているメモリからデータを読出しする

暗号回路動作のサイドチャネル情報を用いて秘密鍵を入手

（Step2）秘密鍵を新しいデバイスにコピーする

電力 電磁波

推定鍵

共通鍵

サイドチャネル情報

不正読出し鍵

複製

複製複製鍵

Dependable VLSI Tamper ResistanceDependable VLSI Tamper Resistance攻撃対策

8

サイドチャネル対策が行われた暗号回路２線RSLメモリ方式AES暗号回路

メモリデータを複製しても機能しない回路PUF（Physically Unclonable Function）

電力 電磁波

推定鍵

共通鍵

サイドチャネル情報

不正読出し鍵

複製

複製複製鍵

暗号回路

レスポンス

チャレンジ

Dependable VLSI Tamper ResistanceDependable VLSI Tamper Resistance

２線RSLメモリ方式を用いたAES暗号回路（１） 9

非線形回路（Sbox部）はメモリ，線形回路は乱数マスクで対策

SRAMマクロ搭載の標準ASICフローと同じフローでチップ設計可能

Dual‐rail ROM(Sbox)

ShiftRows

マスクした中間値

MixColumns

ラウンド鍵ki

round 10

round 1 ~ 9

8

8

8

un-maski-1

maski-1

S /S

8

maski

8

round 10 後

00hやFFh

8

平文

暗号文

乱数マスク相補

相補

必ず1本だけ

遷移

MaskData

UnMaskData

SenceAmp

Masked In Data

Masked In Data

Masked Out Data

相補

相補

必ず1本だけ

遷移

MaskData

UnMaskData

SenceAmp

Masked In Data

Masked In Data

Masked Out Data

２線RSLメモリ（乱数マスクされたデータ

を入出力することによって，消費電力が入出力値に依存しないメモリ）

Dependable VLSI Tamper ResistanceDependable VLSI Tamper Resistance

２線RSLメモリ方式を用いたAES暗号回路（２） 10

本提案方式と，従来提案されてきた耐タンパ設計方式（WDDL,MDPL,MAO,TI）を通常のASIC設計フローで設計し，0.13/0.18μmCMOSで試作したチップを用いて，耐タンパ性の検証およびチップ面積・消費電力を行った

耐タンパ性の評価は，産総研開発のSASEBO‐RIIボードと定評あるオランダRicure社のソフトウエアを使用し各種の攻撃を実施（HD‐CPA,HW‐CPA,HW‐DPA,HW‐ZV‐DPA）

TI方式と提案方式は，100万波形でも１バイト以下のリーク，提案方式はTI方式と比較すると，面積1/5，消費電力1/10

対策不完全

Dependable VLSI Tamper ResistanceDependable VLSI Tamper Resistance

デバイス製造時のバラツキ情報を抽出できるデバイス

チャレンジに対してデバイス固有のレスポンスを出力

製造バラツキは制御不可能であるため物理複製不能

PUF（アービターPUF）と鍵生成 11

01

10

01

10

01

10

ChallengeN[bit]

C0 C1 CN‐1N

INΔt

N stages

A

B

チャレンジ

N段セレクタチェーン

#1 [ 0 , 0 , 0 , … , 0 ]#2 [ 1 ,   0 ,   0 ,   … ,   0 ]#3 [ 0 ,   1 ,   0 ,   … ,   0 ]

PUF#A

PUF#B

PUF#C

001

101

010

Challenges [ C0 ,   C1 ,   C2 ,   … ,   CN‐1]

・・・

・・・

・・・

・・・

Responses

#1#2#3・・・

チャレンジ

レスポンス

チャレンジ

鍵情報

レスポンスPUF

Dependable VLSI Tamper ResistanceDependable VLSI Tamper Resistance

レスポンスが不安定⇒誤り訂正技術が必要

任意の鍵を設定できない⇒共通鍵をPUF鍵で暗号化

サーバー側と認証デバイス側で同じ共通鍵を共有するため

PUFから作成した鍵の問題点と対策 12

暗号回路

共通鍵

(2)ヘルパーデータ

初期鍵生成処理

再生成処理

PUF

暗号回路

チャレンジ

レスポンス

PUF生成鍵

(1)PUF入力

(3)暗号化共通鍵

PUF 暗号回路

共通鍵

PUF再生成鍵

(1)PUF入力

(2)ﾍﾙﾊﾟｰﾃﾞｰﾀ

(3)暗号化共通鍵(1)PUF入力

複製されても安全なデータ

任意指定

PUF出力の誤り訂正技術

認証

認証用共通鍵はPUFがないと再生できない

乱数

誤り訂正符号化

ﾊｯｼｭ関数

誤り訂正復号化

ﾊｯｼｭ関数

Dependable VLSI Tamper ResistanceDependable VLSI Tamper Resistance

従来は，暗号鍵を格納する耐タンパ不揮発性メモリを持つセキュアMCUを用いて認証を行っていた

PUF技術を使うことで，標準プロセスASICと汎用不揮発性メモリで認証可能（標準ASICフローで設計できる耐タンパAES暗号が必要）

ユーザーASIC上のPUFによる低コスト認証 13

セキュア CPU カスタム設計耐タンパ不揮

発メモリカスタム設計耐タンパAES暗号回路

乱数発生回路共通鍵

認証用セキュアMCU@不揮発プロセス

不揮発メモリ

ASIC@標準プロセス

汎用CPU

ユーザーLogic

ユーザASIC@標準プロセス

汎用CPU

ユーザーLogic

HDL設計耐タンパAES暗号回路

PUF（兼乱数発生）

誤り訂正回路

(1)PUF入力

(2)ﾍﾙﾊﾟｰﾃﾞｰﾀ

(3)暗号化共通鍵

不揮発メモリ

統合

本チームの技術開発領域

PUF使用によるコスト低減

Dependable VLSI Tamper ResistanceDependable VLSI Tamper Resistance

PUFのチャレンジとレスポンスをサーバーに登録し，期待されるレスポンスが返ってきた場合に認証OKとする方式 レスポンスには揺らぎ（PUFエラー率）があるので，データベース保管値

に対して許容誤差を設定する（右下図）

本システムの問題点 一定数CRPを手に入れると学習を用いてCRPを予測可能(機械学習攻撃) 予めサーバ等に登録するCRPを記憶するための大きな記憶容量が必要

PUFを用いた簡易認証 14

PUF A

チャレンジ レスポンス

010110 100101110010 111001101101 010010

チャレンジ010110

一致?

使用したCRPを削除

本物or偽物

PUF A?サーバ側 ユーザ側

レスポンス100101

登録

ユニーク性：異なるPUFチップのIDハミング距離PUFエラー率：同一PUFチップのIDハミング距離

許容誤差

ID:256bit長

Dependable VLSI Tamper ResistanceDependable VLSI Tamper Resistance

レスポンス

一定量のチャレンジ―レスポンスペアを学習し，新しいチャレンジに対するレスポンスをSVM(Support Vector Machine)で予測

PUFの機械学習攻撃耐性 15

1010

1010

1010

・・・

10

10

10

1 1 10 0 0

N

従来アービター方式

0 dt

10レスポンス

遅延時間差負

遅延時間差正

0

1 0 1 01 0 1 0

dt

遅延時間差検出方式(立命RG-DTM方式)

信号到達時間差Δdt

約3000 CRPsで95%以上予測可能

従来方式

RG‐DTM方式

従来型アービターPUFは機械学習攻撃に非常に弱いのに対して，RG‐DTM方式で８分割以上

であれば高い学習攻撃耐性を有する

Dependable VLSI Tamper ResistanceDependable VLSI Tamper Resistance

認証時には使用されない内部遅延情報を用いて，マルチクラスSVM攻撃により，認証モデルを作成

上記モデルをデータベースに登録する方式で認証成功⇒登録データベースが大きくなるという問題も解決する

RG‐DTM PUFのモデル作成 16

RG-DTM PUF0

0

1

0

1

RG-DTM PUF1

3

74

2

0

1 0 1 01 0 1 0

dt

0    1 2    3    4   5    6    7

1010

1010

1010

・・・

10

10

10

1 1 10 0 0

N

内部遅延情報

出力レスポンス

内部遅延情報 出力レスポンスモデル生成時 認証時

機械学習攻撃耐性は保持したまま，PUFモデル作成が可能

Dependable VLSI Tamper ResistanceDependable VLSI Tamper Resistance

目標に関連付けて，最近の成果を番号で分類する（次ページ以降）

既存セキュリティ分野（ex.金融系ICカード）に対して

新しい情報リークに対する基礎的な知見の提供(A1)PUFを付加したICのセキュリティー向上技術(A2)タンパ性評価ツール・手法の開発(A3)

新しいセキュリティー分野に対して

既存LSIの設計フローと親和性の高い耐タンパAES暗号回路の設計・検証技術(B1)PUFを用いた低コスト認証手法(B2)耐タンパセキュリティ技術の啓蒙活動（評価ボード提供を含む）(B3)

当チームの出口目標 17

Dependable VLSI Tamper ResistanceDependable VLSI Tamper Resistance

【立命大】

1E1‐4：耐タンパ性向上のための乗算マスクとDual‐Rail RSLメモリ方式を用いたAES暗号回路の設計（B1）

1E2‐5：AES暗号回路の設計・評価を効率的に行うサイドチャネル攻撃耐性検証法の一考察（B1）

2D4‐4：機械学習による遅延時間差検出型アービターPUFモデルを用いた認証方式（B2）

2D4‐5：認証と乱数生成利用のための遅延時間差検出型アービターPUFの最適化手法（B2）

3E4‐1：電力・電磁波解析攻撃におけるオンチップ・キャパシタの影響評価(A1)

【名城大】

1E1‐1：イベントモデルシミュレーションによるサイドチャネル情報取得の効率化（B1）

暗号と情報セキュリティーシンポジウム2013(1) 18

Dependable VLSI Tamper ResistanceDependable VLSI Tamper Resistance

【産総研】

2E1‐5：The Implementation of Fuzzy Extractor is Not Hard to Do: An Approach Using PUF Data（A2）

3E2‐2：FPGA上のサイドチャネル攻撃対策済みAESに対するMIAの有効性評価(A1)

【三菱電機】

1E1‐3：スタンダードセルからの微小なEMリーク(A1)2E1‐1：セキュアな鍵格納とチャレンジレスポンス認証のための統合コプロセッサアーキテクチャ(A2)

2E1‐2：グリッチPUFを用いた鍵生成LSIの試作(A2)3E2‐5：SRAMアクセスのサイドチャネル情報(A1)

＊上記論文12件のうち11件をCRESTのWeb上に掲載

暗号と情報セキュリティーシンポジウム2013(2) 19

Dependable VLSI Tamper ResistanceDependable VLSI Tamper Resistance

セキュリティー認証はICカードだけでなく，センサーネットワークや車載セキュリティーへと応用分野が広がっている

共通鍵暗号を用いた認証においては，サイドチャネル攻撃や鍵保存メモリの不正読み出しによる共通鍵の入手が攻撃手段

上記の攻撃に対する対策技術は以下の２つ サイドチャネル攻撃対策済AES暗号回路（２線RSLメモリ方式）

共通鍵をPUF生成鍵を用いて暗号化して保管する（システムデモ実施）

PUFを用いることで，共通鍵を保管する耐タンパ不揮発性メモリを必要としない低コスト認証システムの構築が可能

簡単な機器認証にはPUFを用いた簡易認証手法が適用できる 8分割RG‐DTM PUFの機械学習攻撃耐性を確認

RG‐DTM PUFの内部遅延情報を用いたPUF認証モデルの作成に成功

最近の成果（SCIS2013）の12件の発表を出口戦略別に分類するとともに論文をDVLSI領域Webコンテンツとして掲載

まとめ 20