サイドチャネル攻撃

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動: 案内検索

サイドチャネル攻撃(サイドチャネルこうげき、side-channel attack)とは、暗号装置の動作状況を様々な物理的手段で観察することにより、装置内部のセンシティブな情報を取得しようとする攻撃方法である。

概要[編集]

従来の暗号の攻撃法では、既知平文攻撃選択暗号文攻撃などのように、平文暗号文にはアクセスできるが、暗号処理はブラックボックスで行うものとして、処理中のデータには一切アクセスできないことを前提としていた。

しかし、暗号機能付きのICカードなどのように攻撃者が処理時間や消費電力を精密に測定できる場合には、平文や暗号文だけではなく、これらの情報チャネルから漏洩する情報も考慮することが必要である。

実際、GSMカードの中には、動作中の消費電力を測定することで秘密鍵を特定できるものがあることが指摘されている([RRST02])。

これらの攻撃方法は1990年代後半に研究発表されたが、2000年代にCRYPTRECNESSIEなどの暗号評価プロジェクトにより暗号方式のリストが作成された頃に「暗号方式が安全であっても暗号の実装が脆弱であると暗号を安全に利用することはできない」として、暗号分野の研究テーマの一つとして研究が盛んになった。

分類[編集]

具体的な攻撃方法としては、処理時間に注目したタイミング攻撃en)や、消費電力に注目した電力解析攻撃(power analysis attack)、装置から漏洩する電磁波(漏洩電磁波)に注目した電磁波解析攻撃などがある。

歴史[編集]

タイミング攻撃
1995年12月7日にKocherがWEBにて発表([K95])。WEBに掲載された文書は概要のみであったが、1995年12月11日にはRSA社がChaumのブラインド署名方式([C83])を利用して効果的に処理時間を隠す対処方法を説明している。1996年夏になって、CRYPTOにて[K96]の発表があり詳細が明確に示された。
故障利用攻撃
1996年9月25日、BellcoreのWEBにて、Boneh達によるICカードなどの耐タンパーデバイスに対する新たな攻撃法が公開された([BDL96])。RSAなどのような公開鍵暗号の処理中に計算誤りが発生すると、誤った出力と正しい出力を比較することで、秘密鍵を特定できる脅威があるため、暗号処理中のICカードに何かしらの物理的操作を行うことで意図的にエラーを発生させることで攻撃できる、というものである。[BDL96]では公開鍵暗号が対象であったが、1996年10月にBiham達によってDESなどの共通鍵暗号の秘密鍵を攻撃できる方法が発表された([BS96a,BS96b])。フォールト解析攻撃(Fault Analysis Attack)とも呼ばれる。
電力解析攻撃
1998年、Kocher達がWEBにて発表([KJJ98])。6月9日頃からニュース記事などで話題になった([K98],[S98])。それによるとICカードなどの暗号デバイスの消費電力はデバイスの処理内容と相関がある為、消費電力を測定して統計処理すると処理内容に関する情報(秘密鍵やPIN等)を取り出すことができるという。SPA/DPA/HO-DPAの3種類の攻撃が提案され、例としてDPAでDES秘密鍵を求めるアルゴリズムの概要が示されている。CRYPTO'98のランプセッションにて概要説明(6分)があった後、翌年のCRYPTOにて[KJJ99]が発表された。単純電力解析(Single Power Analysis:SPA)、差分電力解析(Differential Power Analysis:DPA)など。DPAは当初は共通鍵暗号向けの攻撃がメインではあるものの、MessergeらによりDES向けのデータやアドレスを用いた攻撃が1999年に提案([MDS99])された後に、公開鍵暗号向けのDPAとしてJoyeらにより内部データを用いる攻撃が2001年に提案([JT01])され、富士通研究所の伊藤らにより2002年にCHESにてレジスタのアドレスのみに注目した攻撃が提案された([IIT02]).[JT01],[IIT02]双方ともに楕円曲線暗号を論文中に使用している。
電磁波解析攻撃
2001年5月のCHESにて、Gandolfi達により、DESやRSA実行中に放射される電磁波を測定分析すると秘密鍵を特定できることが具体的に示された([GM01])。それ以前にはテンペストなど電磁波漏洩に関する対策([?])や、その脅威についての考察([QS00])はあったが、具体的部分は非公開であった。
キャッシュ攻撃
2002年10月のISITAにて、Tsunoo達により、キャッシュ付CPUでは、キャッシュヒットの有無によりメモリアクセス時間が異なることを利用すると、ブロック暗号に対してタイミング攻撃が可能であることが、具体的に示された([TTMM02])。
音響解析攻撃
2004年5月4日、EUROCRYPTのrump sessionにて、Tromer達により、計算機が動作中に発するノイズ(10~50kHz)を分析すると処理内容がわかるという発表があった([ST04a])。LSI動作中の発熱等で物理的振動が発生してノイズとなり、このノイズにはCPUなどの動作状況について情報を豊富に含んでいるという。に関しては、古くは機械式暗号の動作音やドットマトリクスプリンタの発する音を分析する攻撃、最近ではキー押下時に発する音を分析する攻撃([AA04])などもある。

参考文献[編集]

  • [AA04] D. Asonov, R. Agrawal, "Keyboard Acoustic Emanations", IEEE Symposium on Security and Privacy, 9-12 May 2004.
  • [BDL96] D. Boneh, R. A. DeMillo, R. J. Lipton, "A New Breed of Crypto Attack on "Tamperproof" Tokens Cracks Even the Strongest RSA Code", 25 Sep 1996.
  • [BDL97] D. Boneh, R. A. DeMillo, R. J. Lipton, "On the Importance of Checking Cryptographic Protocols for Faults", Eurocrypt'97, 1997.
  • [BS96a] E. Biham, A. Shamir, "A new cryptanalytic attack on DES", 18 October 1996.
  • [BS96b] E. Biham, A. Shamir, "The Next Stage of Differential Fault Analysis: How to break completely unknown cryptosystems", 30 October 1996.
  • [BS97] E. Biham, A. Shamir, "Differential Fault Analysis of Secret Key Cryptosystems", CRYPTO'97.
  • [C83] D. Chaum, "Blind Signatures for Untraceable Payments", Crypto'82, pp.199-203, 1983.
  • [GMO01] K. Gandolfi, C. Mourtel, F. Olivier, "Electromagnetic analysis: concrete results", CHES2001, pp.251-261, 13-16 May 2001.
  • [K95] Paul C. Kocher, "Cryptanalysis of Diffie-Hellman, RSA, DSS, and Other Systems Using Timing Attacks," extended abstract, December 1995.
  • [K96] Paul Kocher, "Timing Attacks on Implementations of Diffie-Hellman, RSA, DSS, and Other Systems", Crypto'96, pp.104-113, 1996.
  • [KJJ98] Paul Kocher, Joshua Jaffe, Benjamin Jun, "Introduction to Differential Power Analysis and Related Attacks", 1998.
  • [K98] Paul Kocher, "Differential Power Analysis", The Risks Digest Volume 19: Issue 80, 10 June 1998.
  • [KJJ99] Paul Kocher, Joshua Jaffe, Benjamin Jun, "Differential Power Analysis", CRYPTO'99, pp.388-397, 1999.
  • [KSWH98] J. Kelsey, B. Schneier, D. Wagner, C. Hall, "Side Channel Cryptanalysis of Product Ciphers", ESORICS '98 Proceedings, pp.97-110, September 1998.
  • [MDS99] T. S. Messerges, E. A. Dabbish, R. H. Sloan, "Investigetions of Power Analysis Attack on Smartcards", USENIX WST, 1999.
  • [JT01] M. Joye, C. Tymen, "Protections against Differential Analysis for Elliptic Curve Cryptography", CHES 2001, pp. 377-390, 2001.
  • [IIT02] T. Itoh, T. Izu and M. Takenaka, "Address-Bit Differential Power Analysis of Cryptographic Schemes", CHES 2002, pp.129-143, Aug. 2002.
  • [QS00] J-J. Quisquater, D. Samyde, "A new tool for non-intrusive analysis of smart cards based on electro-magnetic emissions. The SEMA and DEMA methods", Eurocrypt2000 rump session, 14-18 May 2000.
  • [QS01] J.-J. Quisquater, D. Samyde, "ElectroMagnetic Analysis(EMA) Measures and Counter-Measures for Smart Cards", E-Smart2001, pp.200-210, 19-21 Sep 2001.
  • [RRST02] Josyula R. Rao, Pankaj Rohatgi, Helmut Scherzer, Stephane Tinguely, "Partioning Attacks: Or How to Rapidly Clone Some GSM Cards", IEEE Sym. on Security and Privacy, May 2002.
  • [S98] Bruce Schneier, "Side-Channel Attacks Against Cryptosystems", Crypto-Gram Newsletter, 15 June 1998.
  • [ST04a] Eran Tromer, Adi Shamir, "On Nosy People and Noisy Machines", Eurocrypt2004 rump session, 4 May 2004.
  • [ST04b] Adi Shamir, Eran Tromer, "Acoustic cryptanalysis: on nosy people and noisy machines", May 2004.
  • [TTMM02] Y. Tsunoo, E. Tsujihara, K. Minematsu, H. Miyauchi, "Cryptanalysis of Block Ciphers Implemented on Computers with Cache", ISITA2002, 7-11 Oct 2002.

関連項目[編集]

外部リンク[編集]