(セッション表へ)

マルチメディア,分散,協調とモバイル(DICOMO2008)シンポジウム

セッション 3A  暗号・実装(CSEC)
日時: 2008年7月9日(水) 17:20 - 19:30
部屋: ポラリス
座長: 高木 剛 (公立はこだて未来大学)

3A-1 (時間: 17:20 - 17:45)
題名特定入力ペアを用いたRSA暗号に対する電力解析攻撃の実験的評価
著者*宮本 篤志, 本間 尚文, 青木 孝文 (東北大学大学院情報科学研究科), 佐藤 証 (独立行政法人 産業技術総合研究所)
Pagepp. 482 - 489
KeywordRSA暗号, べき乗剰余演算, サイドチャネル攻撃, 単純電力解析, 平文選択
AbstractRSA 暗号の単純電力解析(SPA: Simple Power Analysis) を平文選択により強化・強調する手法がいくつか提案されている.その中でもFouque の提案による特定入力ペアを用いた解析手法は,SPA対策として挿入されるダミー乗算を無効化することができる.しかしながら,その適用は左バイナリ法で実装されたべき乗剰余演算に限定されていた.これに対し,右バイナリ法を含む広範なアルゴリズムに対し適用可能な平文選択型のSPA を提案する.本手法は,2 つのべき乗剰余演算の電力波形の中で異なるサイクルに発生する自乗算波形パターンを比較して鍵情報を推定する.2 つの演算に用いる平文ペアのパターンを適切に選択することで,右バイナリ法だけでなくアレイ法(ウィンドウ法)への適用も可能となる.本稿では,右バイナリ法およびアレイ法をソフトウェア実装したRSA 暗号モジュールに対するSPA 実験により,提案手法の有効性を検証する.

3A-2 (時間: 17:45 - 18:10)
題名シフトレジスタ・アーキテクチャによるハッシュ関数Whirlpoolの高性能回路実装
著者*菅原 健, 本間 尚文, 青木 孝文 (東北大学 大学院情報科学研究科), 佐藤 証 (独立行政法人 産業技術総合研究所)
Pagepp. 490 - 497
KeywordWhirlpool, ハッシュ関数, ハードウェア実装
AbstractISO/IEC 10118-3標準の512ビットハッシュ関数Whirlpoolの高性能回路アーキテクチャを提案する.提案アーキテクチャは,分割したWhirlpoolの演算器の間にレジスタを挿入するシフトレジスタ構造を有し,従来手法と比較して小型かつ高速な処理が実現できる.本稿では,データパス幅512, 256, 128, 64ビットの4種類のアーキテクチャを示し,90nm CMOSスタンダードセル・ライブラリを用いて,各アーキテクチャの回路規模と速度の性能比較を行う.その結果,最小の回路規模で12.5 Kgates (スループット3.65Gbps),および最大の回路効率で480 Kbps/gate(7.93 Gbps / 16.5 Kgates)を得た.これらは,従来手法と比較して最も優れた値であり,特に最小の回路規模を得た実装では,従来手法の最小値13.6 Kgates(スループット820Mbps)と比較し,面積を8%削減しながら,スループットを4.5倍に改善した.

3A-3 (時間: 18:10 - 18:35)
題名ブロック暗号AESの高性能エラー検出回路方式
著者*佐藤 証 ((独)産業技術総合研究所), 菅原 健, 本間 尚文, 青木 孝文 (東北大学)
Pagepp. 498 - 505
Keyword故障利用攻撃, 暗号回路, 誤り検出, AES
Abstract本稿ではブロック暗号に対する効率的なエラー検出方式を提案する.エラー検出には新たな演算回路を付加することなく,2分割したラウンド関数ブロックを暗号化(または復号)と検証に交互に使用するため,回路リソースの増加は少ない.また,処理サイクル数は2倍となる反面,クリティカルパスが半分となって動作周波数が向上するため,処理速度への影響も小さい.提案方式を用いた実装を90 nmと130 nmのCMOSスタンダードセル・ライブラリで論理合成した結果,小型実装でそれぞれ2.21 Gbps @ 16.1 Kgatesと1.18 Gbps @19.4 Kgates,高速実装が3.21 Gbps @ 24.1 Kgatesと1.86 Gbps @ 28.6 Kgatesとなった.一方,エラー検出を行わないものは,小型実装で1.66 Gbps @ 12.9 Kgatesと1.10 Gbps @ 15.4 Kgates,高速実装で4.22 Gbps @ 30.7 Kgatesと2.33 Gbps @ 31.1 Kgatesであり,トータルな性能にさほど大きな差は出なかった.回路効率(ゲートあたりのスループット)が最大となった実装同士の比較ではエラー検出機構のオーバーヘッドは15 % (90 nm)〜30 % (130 nm)で,論理合成の制約条件によっては提案手法の方が高い回路効率を示す場合もあった.今回の実装はAESを対象としたが,提案方式は他のアルゴリズムにも適用することができる.また,CTRモードなどでパイプライン処理が可能な場合は,ラウンド関数の分割数を4, 6, 8と増やすことでスループットが大幅に向上される.

3A-4 (時間: 18:35 - 19:00)
題名組込み機器向け認証・暗号システムのプロトタイプ実装
著者*小俣 三郎, 小林 信博, 宮崎 一哉 (三菱電機株式会社 情報技術総合研究所)
Pagepp. 506 - 512
Keyword機器認証, 機器ID, TPM, 暗号化ファイルシステム, 利便性
Abstract近年ユビキタスコンピューティング環境が拡大してきており、身の回りのあらゆるものに小型のコンピュータが組み込まれ、我々はそれらを無意識のうちに利用している場合がある。このような状況の中で、身の周りにある小型コンピュータが扱う情報のセキュリティについても近年関心が高まってきている。一般的なPCではユーザの操作により、パスワードや生体情報などを利用した認証や、暗号化ソフトウェアを利用したPC内部の情報保護、等が容易に実施可能である。一方PCのようにキーボードやマウス等の入力装置、CRTや液晶モニタ等の出力装置を搭載していない小型コンピュータでは、PCと同様に機器購入後にユーザが自由に認証や暗号の機能を設定したり利用したりすることは困難な場合がある。 また、機器購入後にユーザのPCと機器、または機器と機器とでデータを共有したい場合がある。その場合、データを安全に共有するためには、あらかじめなんらの手段で共有された暗号鍵でデータを暗号化してやり取りする場合がある。例えば、通信データを保護するためにSSL通信やTLS通信を利用する場合、Webサーバ用に秘密鍵と公開鍵を生成し、公開鍵に対してCAから発行される公開鍵証明書のサブジェクト名にはホスト名を入れる必要がある。Webブラウザはそのホスト名が実際にアクセスしているWebサーバのホスト名かどうかを確認する。このホスト名は機器購入後にユーザによって決定されるので機器製造時には決まらない。したがってあらかじめ製造者が決められない情報を、購入後にユーザが設定する必要がある。特に機器が多数存在するような場合に、この設定の手間が非常に大きくなってしまう。 さらに上記のように通信データを暗号化していても、ユーザの意図しない機器とデータを共有することは危険である。つまり不正な機器を第三者によって設置されてしまうと、機器内にデータを格納する際に暗号化して保管することを保証することができず、データを復号した状態で外部に持ち出されてしまうなど、機密情報および個人情報等の漏洩につながる可能性がある。 そこで、本論文ではこのような課題を解決するために、機器認証による不正機器の排除、機器内の情報保護による情報漏洩防止、およびこれらを利便性を損なうことなく実現することにフォーカスし研究開発した内容について記述する。 機器認証については、機器製造時に書き込まれたマスター鍵および機器固有のID(以下機器ID)から機器毎に異なる識別情報(以下認証情報)を生成し、それを認証サーバが検証する技術を我々はすでに開発している。この技術を用いれば、機器製造時に個別の鍵を書き込むことなく、製造後に自動的に個別の認証情報を生成できる。 機器内の情報保護については、TPM(Trusted Platform Module)と連携する暗号化ファイルシステムを適用した。データ格納領域に暗号化ファイルシステムを適用した機器を、全体で一つのプラットフォームとしてユーザに提供することにより、機器上で動く個々のアプリケーションそれぞれが暗号機能を持っていなくても、扱うデータを保護できるため、ユーザの利便性を損なわない。 今回は、これら二つの技術を組み合わせることによる安全性の向上および利便性を評価するプロトタイプシステムを実装した。なお、暗号化ファイルシステム技術として調査対象としたのは比較的入手が容易なオープンソースパッケージとし、eCryptfs、dm_crypt、CryptFS、EncFS、LOOP-AES、LUCKS、TrueCryptである。比較基準としたのは、TPMとの連携機能を有するか、暗号鍵等を処理する部分と本体とが分離されているか、などである。この中で今回の要件に最も近いものとしてeCryptfsを採用した。eCryptfsは、IBM社のMike Halcrow氏を中心に開発が進められている暗号化ファイルシステムであり、共通鍵でファイルを暗号化し、その共通鍵をTPM、OpenSSL、パスワード等から生成する鍵により暗号化して保護している。  本論文では、組込み機器上で上記の機器認証技術とTPM連携暗号化ファイルシステムとを連携動作させることにより、組込み機器に機器認証機能および暗号機能を実装し、かつユーザに手間のかかる設定を強いることなくそれらの機能を簡単に利用することができる一連のシステムとして動作させ、不正機器の排除および情報漏洩防止に有効であることを確認した。 今回は既存技術の組み合わせによる、組込み機器の安全性および利便性の評価を目的としたが、今後はこの結果を踏まえ、より組込み機器に適したセキュリティ機能の実現方式について研究する予定である。

3A-5 (時間: 19:00 - 19:25)
題名一方向性通信を用いたモバイル端末の暗号鍵・端末管理方式
著者*辻 宏郷, 米田 健 (三菱電機)
Pagepp. 513 - 519
Keyword暗号化通信, 鍵配布・鍵共有, 端末管理, モバイル通信, 一方向通信
Abstractモバイル通信端末間の通信内容の盗聴を防止するためには,端末間でEnd-to-Endの暗号化通信を行う必要がある.我々は,End-to-End暗号鍵の配布,端末の管理を,ディジタル放送等の一方向性通信を用いて実現する方式を提案する.暗号鍵は,システム管理サーバにおいて一括生成し,各々の端末に配布する.また,端末の紛失・盗難が発生した場合,システム管理サーバからの遠隔操作によって,端末の機能停止や端末内機密情報の消去を行う.これらの暗号鍵配布,端末管理を実現するプロトコルを設計し,実装した.この結果,利用者が特別な操作を必要とせず,暗号鍵の共有や定期的更新を実現できることを確認した.また,モバイル通信端末の紛失・盗難が発生した場合,システム管理サーバからの遠隔管理や他の端末の協調による動作によって,該当不正端末を除外できることを確認した.