2018 Fiscal Year Research-status Report
Logic design and security evaluation for tamper-resistant light weight block cipher
| Project/Area Number |
17K00190
|
|---|
| Research Institution | Tohoku Gakuin University |
|---|
Principal Investigator |
神永 正博 東北学院大学, 工学部, 教授 (60266872)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
志子田 有光 東北学院大学, 工学部, 教授 (00215972)
鈴木 利則 東北学院大学, 工学部, 教授 (20500432)
吉川 英機 東北学院大学, 工学部, 准教授 (60259885)
|
|---|
| Project Period (FY) |
2017-04-01 – 2020-03-31
|
| Keywords | 耐タンパー技術 / 暗号理論 / 暗号実装 / ブロック暗号 / 公開鍵暗号 / IoTデバイス |
|---|
| Outline of Annual Research Achievements |
本研究では、ICカード、RFIDタグ、スマート家電等のセキュアデバイスに様々な暗号アルゴリズムを実装する際に、電力解析攻撃(SPA, DPA, CPA), 差分故障攻撃(DFA)等のサイドチャネル攻撃に対する耐性を持つ形に強化する方法を開発している。軽量ブロック暗号の攻撃実験、実装評価を中心とし、IoTデバイス向けの軽量公開鍵暗号とその周辺技術を研究中である。志子田(研究分担者)は、本研究で不可欠な相関電力解析(CPA)の実験システムの構築を行い、神永、鈴木、吉川、および学生と共同で、軽量ブロック暗号PRESENT、LBlock、SIMONに対するCPA攻撃とマスキングの効果についての実験結果をまとめ、学会発表した。吉川(研究分担者)は、命令を強制的にスキップさせるDFA(ラウンド加算DFA)によるFeistelブロック暗号における鍵導出法についてまとめた。この結果は、電子情報通信学会和文論文誌に掲載された。こうしたサイドチャネル攻撃に対しては、マスキングが効果的だが、そのためには暗号理論的に質の良い乱数が必要となる。神永と鈴木(研究分担者)は、共同で、通信に伴う雑音を乱数として利用する方法を検討した。この結果は、電子情報通信学会の英文誌に投稿中である。神永は、鈴木、深瀬道晴氏と共同でIoT向け公開鍵暗号として有力なラビン暗号のランダムパディングサイズについての明確な基準を解明し、これをまとめた論文がIEEE Trans. Information Forensics & Security誌に掲載決定した。なお、ラビン暗号に関しては、公開鍵へのDFAを検討した論文が、IEEE Trans. Dependable and Secure Computing誌に掲載された。まとめると、発表済学術論文3編、投稿中の論文が1編、口頭発表が6件となる。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
本研究では電力解析システム(攻撃実験)と乱数性の検討のためにスペクトルアナライザ等を用いた実験システムが必要になる。これらを、本研究では一から構築した。現時点で実験システムの構築には成功し、各種ブロック暗号に対する相関電力解析実験が成功していること(口頭発表6件)、環境雑音として電波を利用することで暗号学的に質のよい物理乱数を発生できること(論文投稿中)が確認できた。乱数発生装置については、従来、抵抗のジョンソンノイズをアンプで拡大する方法や高速なクロックで低速クロックでサンプリングする方法が採られてきたが、比較的規模の大きなアナログ回路を別途用意する必要があった。我々は、IoTデバイスの多くが無線通信機能を持っていることを利用し、無線通信回路を物理乱数の生成に応用することで、回路規模を縮減するものであり、大きな成果と考えている。また、暗号理論の観点で懸案であった格子理論を暗号解読に応用することができた。ラビン暗号のような軽量公開鍵暗号では、乱数のパディングが不可欠であるが、暗号理論的によい乱数を生成する速度、格納できる情報はできるだけ増やしたいというトレードオフが発生する。我々はこの問題を格子理論によって解決した。結果は、IEEE Trans. Information Forensics & Security誌に掲載予定である。Feistel型ブロック暗号に対するラウンド加算DFAが可能な条件を整理し、広範囲に適用可能な形にできたことも大きな成果だと考えている。CPAの実験においては、昨年問題になっていたCPAの相関係数の計算速度の不足は処理をベクトル化するなどして解決できた。実験環境については、CPA実験の自動化ができていないなどの問題が残っている。以上から、目的の多くは達成されているが、課題も残されている状態であり、おおむね順調に進展していると言えると思われる。
|
| Strategy for Future Research Activity |
今年度見えてきた新たな問題は、SIMONに代表されるSボックスを持たない論理演算型のブロック暗号に対する電力解析が難しいのはなぜか、という問題である。SIMONに対する電力解析は困難であり、現時点で確認できる範囲では、国際会議SPACE 2014で発表されたShanmugamらの研究や、信学技報VLD2015-6にある野崎・吉川の研究等ごくわずかであり、これらはもっとも小規模な(全数探索可能な)SIMON32に対する攻撃である。いずれもDPA/CPAのような統計的攻撃というよりも単純電力解析に近いものである。これは、DPA/CPAのような攻撃が困難であることを示している。一般にCPAの困難度は混乱係数と呼ばれる量(大きいほど不正解ビットと正解ビットの差が大きい)で測ることができる。しかし、DESの最も弱いS2ボックスでさえ、混乱係数は0.328125であるのに対し、我々のシミュレーションでは、SIMONにおける混乱係数は約4であり、CPAはむしろ容易という結果になってしまう。しかし、依然としてSIMONに対するCPAは著しく困難であり、例えばSIMON64などに対しては実質的に不可能なのではないか、とさえ思える。この困難さの原因は、論理演算型のブロック暗号に共通する問題なのかもしれない。この問題を理論的に解析し、電力解析に対する耐タンパー性の高いブロック暗号の構造を調べ、安全な暗号設計に貢献したい。もう一つの問題は、軽量公開鍵暗号、特にラビン暗号に対するデータフォーマットの問題である。既に発表した論文ではランダムパディングのサイズがどの程度あればよいかということを追及したが、攻撃の困難さは、データフォーマットにも大きく依存している。より強力なデータフォーマットとは何かを格子理論の立場から追及していきたい。実験の自動化については、来年度の課題である。
|
| Causes of Carryover |
軽微な研究計画の変更に伴い若干の繰り越し金が生じたが、今年度の研究で当初より予定していた支出を行う計画である。
|
