ユニーク＆エキサイティング研究探訪
【No.22】　2013年1月　掲載
高度情報化社会の安全性を支える暗号技術

現代文明を支える情報処理システム（セキュリティシステム）は、常に情報漏えいや情報改ざんなどの脅威に曝されています。

最も単純な脅威は、システムの運用側で起こります。例えば、顧客名簿を格納したUSBメモリを従業員が持ち出して紛失したりといった事例です。あるいは、システム管理者が内部情報を更新するときにうっかり、消してはいけないファイルを消去したために、顧客のサービスが停止してしまうといった事例です。

次に、情報処理システムそのものが脅威にさらされています。例えば、外部のクラッカーによるウエブ・サイトへの攻撃です。攻撃者はウエブ・サイトから内部情報を盗み出したり、ウエブ・サイトそのものを改ざんしたりしようと働きかけます。

それから、暗号デバイスに対する脅威があります。ICカードやRFIDタグなどが内蔵する秘密情報が読み出されたり、ICカードやRFIDタグなどが偽造されたり、といった脅威に曝される恐れが常にあります。

暗号解析とは、暗号デバイスの入出力データから暗号化手法を解析することで秘密情報を得ようとする試みで、暗号を解読することに相当します。非常に低いコスト（設備投資）で実行できるものの、きわめて高い技術力を必要とします。暗号そのものの安全性がきわめて高い場合は、解析に必要な時間は非常に長いものになりますし、そもそも、解析で十分な情報を得ることはきわめて困難です。このため、安全な暗号化手法を採用している限りは、あまり現実的な脅威ではないと考えられています。

物理攻撃には、侵入型と非侵入型があります。侵入型の物理攻撃は、暗号デバイスの中身である半導体チップを取り出し、半導体の検査装置を使って内部情報を解析する攻撃です。攻撃そのものは短時間で完了する可能性があります。ただし、半導体チップを取り出す装置と半導体の検査装置を揃えるとなると、初期投資の金額が膨大なものになります。このため、侵入型の物理攻撃も、現実的な脅威にはなりにくいと考えられています。

物理攻撃でも非侵入型の物理攻撃が、サイドチャネル攻撃です。サイドチャネル攻撃に必要な設備は信号波形の測定装置や信号波形の発生装置、直流電源などで、もちろん安価であるとは言えないのですが、中小の製造企業でも十分に購入可能な金額に収まります。また解析にかかる時間は、侵入型に比べると長くなるものの、暗号解析に比べると短く済む可能性があります。このため、サイドチャネル攻撃は現実的な脅威になり得るとみなされています。

アクティブ型のサイドチャネル攻撃では、不正な入力信号をわざと暗号デバイスに与えます。そして暗号デバイスの動作を異常な状態にすることで、秘密情報の取得を試みます。

アクティブ型の攻撃手法では、異常な動作での出力値と正常な動作の出力値を比較して秘密情報を見つけ出そうとする「故障差分解析（DFA：Differential Fault Analysis）」と呼ばれる手法が、暗号実装の研究では良く知られています。故障差分解析は1996年に提案されたのですが、その対策は当初、比較的容易だと考えられていました。故障が発生したら、出力値を「ゼロ」（あるいは論理レベル「低」）にすれば、解析は困難になると信じられていたのです。

故障感度解析ではこれまで、不正なクロック信号入力のほかに、電流供給量を少なくしたり、温度を上昇したりすると、攻撃が可能なことを崎山准教授と崎山研究室が明らかにしています。

なお、電気通信大学の暗号研究では、崎山研究室が暗号実装を研究しており、さらに、太田和夫教授と太田研究室が暗号理論を研究しています。両研究室は協力関係にあり、数多くの研究論文を共著で発表してきました。崎山研究室がボトムアップ、太田研究室がトップダウンでアプローチすることで、最先端のセキュリティシステムの構築に日々、貢献しています。