ハッカーがセキュリティを破る手法の1つに、暗号化回路に用いられる各種デバイスの電気的動作など、ハードウエアレベルの物理的な現象を利用する「サイドチャンネル攻撃」がある。このサイドチャンネル攻撃の中でも、半導体チップのリーク電流を利用する手法に対し、憂慮の声が挙がっている。本稿では、微細プロセスで増大するリーク電流を測定/解析することで、暗号化回路の秘密鍵に関する情報が読み取られる可能性について考察する。
Eコマースやネットバンキングなど、インターネットを介して行われる商取引サービスの市場は拡大の一途をたどっている。また、ICカードを使った電子マネーサービスは普及/拡大期に入りつつある。そして、これらのサービスには、常により高いレベルのセキュリティ技術が求められている。ここで言うセキュリティ技術は、ソフトウエアレベルとハードウエアレベルの2種類に分けることができる。
ソフトウエアレベルでは、強靭な暗号化アルゴリズムを中心とした暗号化技術により、十分なセキュリティが達成されている。その一方で、同様のアルゴリズムを物理的に実装するハードウエアレベルでは、ハッカー(クラッカー)などの攻撃者に秘密鍵の解読を許してしまう可能性が指摘されている。半導体チップをはじめとする各種デバイスにおいて、電気的動作に基づく物理的な現象を利用する「サイドチャンネル攻撃」が問題となっているのである。
こういった攻撃に利用され得るハードウエアレベルの情報としては、入力文を暗号化する際の消費電力や処理時間などの変化が挙げられる(図1)*1)。また、差分電力解析(DPA:Differential Power Analysis)は、強力なサイドチャンネル攻撃の手段となり得ることもあり、関連する文献も多い。この差分電力解析と、市販の電子部品や計測器により構築できる測定装置を用いることで、攻撃者は秘密鍵を解読することが可能なのだ*2)。さらに、攻撃者は、CMOSロジックにおけるダイナミックな消費電力(ダイナミック電力)の変動が入力値に大きく依存するという事実も利用する。
一例として、グラウンドに接続されたコンデンサを負荷とするCMOSインバータの簡略化モデルを取り上げる。このモデルでは、出力が「0」から「1」へと遷移する場合のみ、電源から電流が流れる。一方、「1」から「0」への遷移では、コンデンサのエネルギーが放出される。これを利用すれば、インバータの動作を把握することができる。
最近では、ダイナミック電力の解析による攻撃を阻止するためのソフトウエアとRTL(Register Transfer Level)ロジックの両方を採用した多くの対応策が提案されている*3)。
従来、CMOS回路における電力損失の最大の要因は、CMOSのスイッチング動作に起因するダイナミック電力であった。ダイナミック電力は、電源電圧の2乗に比例し、クロック周波数に比例する。
これ対して、もう1つの大きな電力損失要因として挙げられるのが、CMOSデバイスから漏れ出すリーク電流に起因するリーク電力である。このリーク電力は、プロセスの微細化が進むと、ダイナミック電力と同程度にまで増加すると予想されている*4)。
リーク電流は、入力値に大きく依存する。そのため、技術者はこの特性を利用することで、回路のスタンバイ時のリーク電力による損失を低減しようとしている*5)*6)*7)。また、CMOS回路における最大/最小のリーク電流を生成する入力ベクトルを予測することが可能なモデルも提案されている*8)。
リーク電流がCMOSロジックの入力値に依存することから、リーク電力を測定することにより、暗号化の処理を行うコア(暗号化コア)に関する情報を抽出することができる。それには、まずRTLシミュレーションによって、簡単な暗号化コアでリーク電流の入力値への依存性を解析する。その上で、統計的解析手法を用いることにより、攻撃を実行することが可能になる。この手法は差分電力解析で用いられる手法に類似しており、リーク電流の測定という基本的かつ容易な作業から秘密鍵の解読が可能になってしまう。
リーク電流が生じる主な原因としては、反転接合電流、サブスレッショルド電流、ゲートトンネル電流の3つが挙げられる*9)。特に、ドレイン電流がほぼ流れていない弱反転(サブスレッショルド)領域にあるMOSトランジスタは、サブスレッショルド電流に起因するリーク電流が最も大きい。CMOSゲートの設計者は、直列/並列接続を用いたプルアップ/プルダウン回路をベースに設計を行っている。そのため、そのような直列/並列構成のMOSデバイスにおけるリーク電流のモデルの開発が行われている。
※1…Hess, W, E Janssen, N Meyer, and B Schuetze, "Information Leakage Attacks Against Smart Card Implementations of Cryptographic Algorithms and Countermeasures―a Survey," Eurosmart Security Conference, Marseilles, June 2000, p.55
※2…Kocher, P, J Jaffe, and B Jun, "Differential Power Analysis: Advances in Cryptology," Lecture Notes in Computer Science, Volume 1666, August 1999, p.388
※3…Shamir, A, "Protecting smart cards from passive power analysis with detached power supplies," Proceedings of the Second International Workshop on Cryptographic Hardware and Embedded Systems, Springer-Verlag, 2000, p.71
※4…Narendra, S, S Borkar, V De, D Antoniadis, and A Chandrakasan, "Scaling of stack effect and its application for leakage reduction," International Symposium on Low Power Electronics and Design 2001, p.195
※5…Bobba, S, and In Hajj, "Maximum leakage power estimation for CMOS circuits," IEEE Proceedings on Low Power Design, March 1999, p.116
※6…Ferre, Antoni, and Joan Figueras, "On estimating leakage power consumption for submicron CMOS digital circuits," IEEE International Workshop on Power and Timing Modeling, Optimization and Simulation, September 1997
※7…Abdollahi, Afshin, Farzan Fallah, and Massoud Pedram, "Leakage current reduction in CMOS VLSI circuits by input vector control," IEEE Transactions on VLSI Systems, Volume 12, No. 2, 2004, p.140
※8…Chen, Zhanping, Liqiong Wei, Mark Johnson, and Kaushik Roy, "Estimation of standby leakage power in CMOS circuits considering accurate modeling of transistor stacks," International Symposium on Low Power Electronics and Design, August 1998, p.239
※9…Rankl, Wolfgang, and W Effing, Smart Card Handbook, Third Edition, John Wiley and Sons, 2003
Copyright © ITmedia, Inc. All Rights Reserved.