|
論理暗号化を無効化する攻撃手法としては,正しい鍵入力を推測するSAT攻撃と呼ばれる手法と,正しくはないが,多くの入力に対して正しい出力を出す近似鍵を求める近似SAT攻撃と呼ばれる手法がある.SAT攻撃に対して耐性を持たせるためには,一回の入出力応答から得られる正解の鍵の情報量を減らし,必要となる入出力回数を(理想的には回路規模の指数乗に)増やすことである.
一方,そのようにすると多くの場合,誤った鍵を与えた時に誤った出力が得られる機会が減り,多くの入力に対して正しい出力が得られるようになり,近似SAT攻撃で近似鍵を求めることが容易になってしまう.実際にはSAT攻撃に対する耐性と近似SAT攻撃に対する耐性は背反するものではないと考えられるが,従来はこの両面を同時に考えた論理暗号化手法はあまり検討されていなかった.
そこで,今年度はSAT攻撃と近似SAT攻撃のそれぞれの攻撃手法に対する耐性を定量的に評価する手法について提案を行った.
具体的にはSAT攻撃に対する耐性として,一回の入出力の観測で,どれだけの鍵候補を削減できるか(鍵候補が1つになったときが正解である)の期待値をSAT攻撃に対する「暗号強度」と定義し,その値をサンプリングを用いて統計的に推論する方法を提案した.
また,誤った鍵入力に対して,どれだけの入力から誤った出力が得られるかの割合の期待値を「施錠強度」と定義,同様にサンプリングから統計的に推論する方法を提案した.
どちらもSAT問題に対する解の個数をサンプリングから推測するため,完全なアルゴリズムは存在しないが,XOR型の制約式をランダムに加えることで個数の推測を行う手法を適用し,妥当な値が得られることを確認している.
|
