(セッション表へ)

マルチメディア,分散,協調とモバイル(DICOMO2007)シンポジウム

セッション 7D  暗号(CSEC)
日時: 2007年7月6日(金) 8:30 - 10:40
部屋: 松〜梅
座長: 岩村 惠市 (東京理科大学)

7D-1 (時間: 8:30 - 8:55)
題名暗号危殆化問題に対する暗号SLAポータルサイトの開発
著者*猪俣 敦夫 (独立行政法人 科学技術振興機構), Guillermo Horacio Ramirez Caceres (創価大学 情報システム工学科), 大山 義仁, 岡本 健 (筑波大学 システム情報工学研究科), 勅使河原 可海 (創価大学 情報システム工学科), 岡本 栄司 (筑波大学 システム情報工学研究科)
Pagepp. 1390 - 1397
Keyword暗号危殆化, 暗号SLA, 公開鍵暗号, RSA
Abstract近年、オンラインショッピングやインターネットバンクなどの利用が急増し、インターネットでやり取りされる情報の保護技術として暗号が担う役割が益々重要になりつつある。特に、インターネットでは1024bitの鍵長サイズを利用した公開鍵暗号系のRSA暗号が一般的に利用されている。ところで、このRSA暗号の安全性は素因数分解計算の困難性に基づいたものである。しかし、この安全性は、時間経過とともに素因数分解を効率的に行う画期的なアルゴリズムの創出や計算機性能の大幅な向上、量子計算機の登場などの様々な要因により次第に低下していく。これが暗号危殆化問題である。そこで本研究の目的は、暗号危殆化問題におけるリスクに着目し、現代社会に対して暗号の安全性を説明し、今後この問題をどのように対処していくべきかを明らかにすることである。このためには、利用者に対して情報の保護という視点から、暗号技術による安全性を明確にするにはどの種類の暗号技術をどのようなパラメータで適用すべきかを整理しておく必要がある。実際に暗号を利用したサービスを利用していくためには、利用者が自分自身で納得できる暗号の安全性を有しているかどうかを自身で見極める必要がでてくる。しかし、暗号の専門家でない利用者にとってこれは非常にハードルの高い問題である。一方、暗号を利用したサービスの提供者側においても、サービスの利用者に対して暗号が提供する安全性をある程度明確にしておかなければならないが、現状においてそのような体制も未だ不十分である。 本稿では、暗号の安全性についてより明確な分かりやすい形態で表現するために、新たに定義した暗号SLAについて述べ、暗号利用における全ての利用者間において、暗号SLAを利用した上で暗号利用における合意を支援するために開発した暗号SLAポータルサイト、および実施した実証実験の結果について報告する。 暗号SLAでは、これから何年後に何ビットのRSA暗号が解読されるかを示す曲線として定義した暗号危殆化曲線を導入する。暗号危殆化曲線を導出するにあたり、RSA暗号の解読可能性については、Lenstraらによって最も効率的な解読手法とされていた数体ふるい法による解読計算量をもとにする。具体的にRSA暗号の解読時間までの計算量は、暗号の鍵長サイズ、解読定数、暗号解読時間、ある時間における計算速度を変数とした式により算出される。さらに、我々は計算機の進化速度としてムーアの法則を導入し、より実計算機環境に応じた解読可能性を予測する暗号危殆化曲線を導出した。それだけでなく、暗号危殆化曲線の妥当性を検証するため、RSAセキュリティ社による解読チャレンジコンテストの解読事例を用いて暗号解読予測の基準年を算出し、先述した解読定数を決定した。なお、2004年12月3日に576bitが解読された結果を暗号解読の基準年として暗号危殆化曲線を図示したところ、2005年11月4日に640bitの素因数分解が成功した結果とほぼ一致しており、導出した暗号危殆化曲線の妥当性についてある程度示すことが出来た。また、暗号SLAでは、暗号SLAレベルと呼ぶパラメータを導入し、暗号利用における全ての利用者において明確な情報を提供することとした。 暗号SLAとは、暗号を利用した通信における利用者・提供者双方の合意の取り決めのようなものであり、暗号SLAの利用者全てのユーザを対象としている点が特徴である。以下、暗号SLAの目的と効果についてまとめる。暗号SLAの目的は、1.暗号利用者、およびサービス提供者に対して暗号の安全性を分かりやすい形態として提示する、2.明確な暗号SLAレベルを提示することで、暗号利用者、およびサービス提供者双方の利便性を向上させる、3.暗号利用者、およびサービス提供者双方の責任範囲を明確にする、ことである。続いて、暗号SLAの効果は、1.目的に見合った暗号を利用したシステム(サービス)の適用コストを明確にできる、2.合意と達成、報告と改善を通じ現状の暗号の危殆化度合いを確認、報告できる、3.暗号利用者と提供者双方間に暗号をベースとした信頼関係を構築できる、ことである。 現状において、暗号危殆化が直接的な原因によって即座に被害を受けた事例は現状ではほぼ皆無である。一方、暗号を利用したサービスを運営する側にとっても暗号危殆化によって直接的な損害を受けた事例も存在していない。しかし、暗号を利用する全てのユーザにとって暗号危殆化リスク問題の認識を高めていくことは重要であり、各々立場によっては認識の度合いも大きく変わるはずである。我々は、暗号危殆化リスク問題を考慮した上で暗号利用ユーザをサポートする意味で暗号SLAポータルサイトを開発し、実際にその有効性について評価するために実証実験を実施した。

7D-2 (時間: 8:55 - 9:20)
題名匿名署名を実現するためのPairingを用いたグループ署名ライブラリの実装
著者*側高 幸治 (日本電気), 松田 誠一 (筑波大学 システム情報工学研究科), 土井 洋 (情報セキュリティ大学院大学 情報セキュリティ研究科), 岡本 健 (筑波大学 システム情報工学研究科), 小松 文子 (日本電気), 岡本 栄司 (筑波大学 システム情報工学研究科)
Pagepp. 1398 - 1402
Keywordグループ署名, Pairing, 匿名署名
Abstract本発表では,楕円曲線の双曲線性(Pairing)を用いた匿名署名を実現するためのライブラリを実装したので ,その結果について報告する. 近年,プライバシー保護を実現するための技術として,匿名性を実現する署名技術(以下,匿名署名技術) に関する研究が行われている.これらについては,理論研究などは活発に行われているが,匿名署名を実 装し,製品やアプリケーション等のプロトタイプの評価を行うことは容易ではなく,ほとんど行われてい ない.実際,匿名署名技術はブラインド署名,リング署名,1-out-of-n署名,グループ署名等に類別する ことができるが,現在広く使われているRSA署名やDSA署名等と較べて,方式自体がはるかに複雑であり, これを利用現できる環境は提供されていないと考えられる. 一方,2000年以降,匿名署名技術を含む暗号技術全体にわたって,楕円曲線の双曲線性(Pairing)を用いた 効率化,高性能化が達成されている.しかしながらPairingについては,高度な数学的知識を必要とするた め,興味深い応用が可能であるとの結果が示されていたとしても,Pairingを用いたアプリケーションのプ ロトタイプ等を実装し,それを評価するのは容易ではない. 本研究では,ある特定のグループを定義した場合の匿名性実現に適しているグループ署名の実装を最終タ ーゲットと位置づけた.グループ署名の実現方法としては,RSAをベースにした方法やPairingをベースに した方法等が提案されているが,署名長を小さく抑えることができるPairingをベースにした方式(Bonehら のShort Group Signatures)に注目した.そこで, (1)Pairingを利用できるライブラリ及びAPIの設計, (2)Pairingを用いたグループ署名ライブラリ及びAPIの設計 を行い,WindowsやUnix環境上での実装を行ったので,その結果を報告する. ライブラリの実装に当たっては,体演算ライブラリ,楕円曲線ライブラリ,Pairingライブラリ,グループ 署名ライブラリをそれぞれ実装した.Pairingを実装する場合は,もっとも下位層に有限体(正確には拡大 体)ライブラリを実装しなくてはならない.Pairingや楕円曲線演算の構成法は,巨大な素数を標数とする 体(以下,標数p)の2次拡大体を利用するか,標数が小さな(例えば,標数が2や3など)体の数十〜数百次拡 大体を利用するかにより大きく異なる.我々は,安全性,性能などを考慮して,標数p及び標数3の体演算 ライブラリを実装し,その上で動作する楕円曲線ライブラリ,及びPairingライブラリを実装した.そして ,更に上位層に楕円曲線ライブラリとPairingライブラリを用いるグループ署名ライブラリを配置するよう に設計した. 既に述べたように,楕円曲線ライブラリ及びPairingライブラリの構成は標数に依存する部分が大きい.し かし,匿名性を実現するグループ署名ライブラリは汎用使用を考慮して設計した.実際,グループ署名ラ イブラリを利用する上位アプリケーションからは,利用したいライブラリの各パラメータである標数や拡 大体の拡大次数を変更するのみで,それ以外の差分を意識することなく各標数の下位ライブラリを利用す ることが可能である.なお,Pairingアルゴリズムの高速化に関する研究は,現在も盛んに行われており, グループ署名の研究も同様な状況である.しかし,今回の実装方針を採用した結果,今後,使用する楕円 曲線や異なる標数を扱う場合を含むライブラリの拡張にも容易に対応可能であり,それらを利用する上位 アプリケーションへの影響を局所化することに成功したと考えている. また,通常のRSA署名やDSA署名等と較べて格段に処理が複雑な,特にPairingという複雑な処理を利用する グループ署名の性能測定を行い,現実的な処理時間で動作することを確認した.実際,本研究と並行して 行われた「電子文書の内容から通報者発覚の防止が可能な匿名内部告発システムの提案と試作」の研究 (DICOMO2007にて発表予定)において,実使用に耐えうるとの評価を得ている. なお,これらのライブラリは2004年度から2006年度まで実施された文部科学省科学技術振興調整費「重要 課題解決型研究等の推進 セキュリティ情報の分析と共有システムの開発」の研究開発成果の一つであり ,これらのライブラリを研究開発成果として公開する予定である.

7D-3 (時間: 9:20 - 9:45)
題名波形フィルタリングによる暗号モジュールへの高精度電力解析
著者*長嶋 聖, 本間 尚文, 菅原 健, 青木 孝文 (東北大学 大学院情報科学研究科), 佐藤 証 (産業技術総合研究所)
Pagepp. 1403 - 1408
Keywordサイドチャネル, 電力解析攻撃, フィルタリング
Abstract本稿では,波形フィルタリングによる電力解析攻撃の高精度化について述べ,その有効性を検証する.一般に暗号モジュールの消費電力は,暗号化以外の演算や電源ノイズの影響を受け,それらは統計処理による解析において精度低下の大きな要因の一つとなる.提案手法は,電力波形の周波数帯域から秘密情報の解析に有効な部分を動的に選択し,処理の精度を向上させようというものである.INSTAC-8準拠プラットフォームのZ80プロセッサ上に実装したDESのソフトウェアを用いた実験において本手法を適用した結果,取得波形が少ない場合でも高い精度での統計解析が可能であることが示された.

7D-4 (時間: 9:45 - 10:10)
題名特定入力パターンを用いたRSA暗号ハードウェアの単純電力解析
著者*宮本 篤志, 本間 尚文, 青木 孝文 (東北大学 情報科学研究科), 佐藤 証 (産業技術総合研究所)
Pagepp. 1409 - 1414
Keywordサイドチャネル攻撃, 単純電力解析, RSA暗号, ハードウェア実装
Abstract 本稿では,RSA暗号ハードウェアに,特定のデータパターンを入力することで単純電力解析(SPA:Simple Power Analysis)の性能を向上させる手法を提案する.RSA暗号のSPAは,秘密鍵のビットパターンに応じて 繰り返される乗剰余算と自乗剰余算の違いを消費電力波形から見分ける ものである.しかし,乗剰余算と自乗剰余算を同一の演算器・演算手順 で処理するハードウェア実装では,ランダムな入力からその消費電力差 を見分けることは極めて困難である.それに対して本手法は,乗剰余算の2変数の一方が入力データに直接関係していることを利用し,特定のデータパターンを与えることで乗剰余算と自乗剰余算の消費電力の違いを強調するものである.本稿では,2種類の乗算器と2種類の演算シーケンスを組み合わせ,計4種類のRSA暗号ハードウェアをFPGA上に実装し,それらを用いたSPA実験により,提案の有効性を検証する.

7D-5 (時間: 10:10 - 10:35)
題名サイドチャネル攻撃標準評価FPGAボードを用いた暗号ハードウェアに対する電力解析実験
著者*菅原 健, 本間 尚文, 青木 孝文 (東北大学 大学院情報科学研究科), 佐藤 証 (独立行政法人 産業技術総合研究所)
Pagepp. 1415 - 1420
Keywordセキュリティ, 暗号, サイドチャネル攻撃
Abstract本稿では,暗号モジュールへのサイドチャネル攻撃実験を目的として開発したサイドチャネル攻撃標準評価FPGAボード(SASEBO Side-Channel Attack Standard Evaluation Board) を紹介する.本ボードは,暗号ハードウェアの消費電力や放射電磁波の高精度な測定を可能とする.SASEBO の仕様およびアーキテクチャを説明するとともに,共通鍵暗号AES(Advanced Encryption Standard)への電力解析攻撃実験により,INSTAC-32との比較を行う.