| 研究課題/領域番号 |
16J05711
|
|---|
| 研究機関 | 東北大学 |
|---|
研究代表者 |
上野 嶺 東北大学, 情報科学研究科, 特別研究員(DC2)
|
|---|
| 研究期間 (年度) |
2016-04-22 – 2018-03-31
|
| キーワード | 暗号実装 / ハードウェアセキュリティ / 算術演算回路 / 形式的検証 / 計算機代数 |
|---|
| 研究実績の概要 |
暗号プロセッサの大部分を構成するガロア体算術演算回路の形式的設計手法に関する研究を行った.本年度は,まず,これまで提案してきた形式的設計手法をパイプライン化された回路の表現・検証が可能となるように拡張した.暗号プロセッサのパイプライン化は実装効率の向上のみならず,消費電力を利用して動作中の暗号プロセッサから秘密鍵を抽出するサイドチャネル攻撃対策にも広く用いられる.本研究では,線形時相論理と呼ばれる時間に関する様相を持つ論理体系とこれまでの計算機代数に基づく手法を組み合わせることで,このような回路の表現,検証を可能とした.さらに,本手法を用いることでサイドチャネル攻撃耐性を持つ軽量暗号プロセッサの完全検証が可能となることを示した.加えて,上記手法を応用して,回路機能とサイドチャネル攻撃耐性が形式的に検証されたガロア体乗算器の自動合成システムを開発した.
次に,高効率AES暗号プロセッサの設計について述べる.AESはISO/IEC 18033-3で規定された国際標準の共通鍵ブロック暗号であり,無線LANやSSL/TLSなどを始めとして世界で最も多く用いられる暗号の一つである.AES暗号化・復号を高効率に行うために,AES暗号プロセッサを構成するためのガロア体算術演算回路の最適化を行った.あるガロア体の元として表現される入力データを別のガロア体表現に変換し,その上で暗号化と復号の演算を圧縮することで大きな面積増加なしで遅延を大きく削減できることを見出した.結果として,提案AES暗号プロセッサは従来のAES暗号プロセッサよりも効率的に暗号化・復号が可能となり,提案プロセッサは従来の約半分の消費エネルギーで暗号化・復号が可能なことを確認した.加えて,同様の手法を用いて乱数変換に基づくサイドチャネル攻撃耐性を持つAES暗号プロセッサを高効率に設計した.
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
2: おおむね順調に進展している
理由
本年度の大きな目標として,サイドチャネル攻撃耐性を持つガロア体算術演算回路の形式的検証手法の開発や,高効率AES暗号プロセッサの設計を設定していた.これに対し,本年度は,一般化マスキングスキームと呼ばれる最新のサイドチャネル攻撃対策手法に着目することで,サイドチャネル攻撃耐性を計算機代数に基づく手法を用いて形式的に検証する手法を開発した.さらに,これまで開発したガロア体算術演算回路の形式的設計手法と組み合わせることで,サイドチャネル攻撃耐性を持つガロア体乗算器の自動合成を可能とした.既存の回路設計環境はこのようなガロア体算術演算回路の設計や検証に大きなコストがかかっていたが,本手法によりサイドチャネル攻撃耐性を持つ暗号プロセッサの設計コストの削減が期待される.
さらに,本年度は,高効率AES暗号プロセッサの設計を行った.提案AES暗号プロセッサ,まず,算術演算回路内部の数値のデータ表現を演算に適したものに変換し,暗号演算後に暗号文を出力する前に元の表現に変換する.その上で,暗号演算の数学的最適化による圧縮を行うことにより,大きな面積オーバーヘッド無しで遅延を大幅に削減できることを見出した.提案AES暗号プロセッサは面積遅延の観点から従来手法よりも約倍の効率を達成しており,さらにシミュレーションの結果から提案AES暗号プロセッサは従来手法の約半分のエネルギーで暗号化が可能であることを確認した.さらに,同様の手法を利用してサイドチャネル攻撃耐性を持つ高効率AES暗号プロセッサの設計を行い,従来のサイドチャネル攻撃耐性を持つAES暗号プロセッサよりも小型かつ約25%低遅延で暗号化が可能であることを示した.
以上の成果は設計自動化に関する国際会議DATEや,暗号実装に関する国際会議CHESやCOSADEなどで発表されている.以上より,研究はおおむね順調に進展している.
|
| 今後の研究の推進方策 |
今後の研究として,①高効率AES暗号プロセッサのバックエンド設計,②高効率認証付き暗号プロセッサの設計と実装攻撃耐性評価,③効率的なサイドチャネル攻撃耐性評価方法の開発を検討している.
まず,①については,これまで設計してきたAES暗号プロセッサは,フロントエンド設計段階での評価しか行ってこなかった.一方で,既存のAES暗号プロセッサの多くはバックエンド設計を行った上で性能評価を行っており,提案AES暗号プロセッサのバックエンド設計段階における性能評価での優位性は不明であった.そこで,バックエンド設計を行い,提案AES暗号プロセッサのより詳細な性能評価を行うことを検討している.
次に,②について述べる.メッセージの秘匿と改ざんの検知を同時に実現する認証付き暗号の需要が高まっている.現在認証付き暗号の国際コンペティションCAESARが実施されており,候補の認証付き暗号についてその安全性やハードウェアもしくはソフトウェア実装時の性能について活発に議論がなされている.このような認証付き暗号について,効率的な実装方法の模索や,実装攻撃に対する安全性評価を行うことを検討している.
最後に,③について述べる.現在,共通鍵暗号モジュールのサイドチャネル攻撃耐性の実験的評価手法としてはt検定と呼ばれる統計的手法に基づく手法が主流となっている.一方で,高度なサイドチャネル攻撃である高階差分電力解析と呼ばれる攻撃に対する評価時には,計測ノイズの影響や計算時間が問題となっていた.近年,高階差分電力解析の評価をより計算が簡単な一階差分電力解析に帰着して評価する手法が提案されその有効性が示された一方,計測ノイズに対しどの程度の波形取得を行えば十分な評価が可能になるのかは依然として示されていなかった.そこで,統計学の知識を用いることで評価に必要な波形数を理論的に与えることを検討している.
|
