IoTで必要となる電子デバイスのセキュリティ～機 …...– PUF(Physical Unclonable Function)による鍵生成（せめて）鍵だけなんとかしたい –

２０１８年５月１２日三菱電機株式会社情報技術総合研究所

鈴木大輔

IoTで必要となる電子デバイスのセキュリティ～機器ベンダの視点～

自己紹介

鈴木大輔博士(工学)2001年入社 41歳・三菱電機株式会社情報技術総合研究所情報セキュリティ技術部所属

・セキュリティコンポーネント、ハードウェア、制御セキュリティの研究/開発に従事．

・国際暗号学会 CHES‘13, CHES’14, CHES’15 プログラム委員Asiacrypt’14, Asiacrypt’16 プログラム委員

・CRYPTREC 暗号技術調査WG(軽量暗号) 委員 ‘13~’16・ハードウェアセキュリティ研究専門委員会専門委員・暗号と情報セキュリティシンポジウム SCIS 2019 実行委員

弊社HPから

Quick summary

Quick summary

LSIのシステムのワークショップ2018 HPから

Quick summary

LSIのシステムのワークショップ2018 HPから

新しい研究テーマの創出のヒントになれば、という立ち位置で

・これまでやってきたLSIとセキュリティに関する研究

・これから必要だと思うLSIとセキュリティに関する研究

これまでやってきたLSIとセキュリティに関する研究

6


・サイドチャネルセキュリティ

・暗号の高速演算

・模倣品対策

これまで

課題① 暗号回路の開発において、電力解析攻撃、電磁波解析攻撃に対して強い/弱いを設計段階で評価したい。

課題② 電力解析攻撃、電磁波解析攻撃に強い暗号回路の作り方を確立したい。

サイドチャネルセキュリティ

2001年から研究を始めたとき、2つの課題を解決したかった。



シミュレーションによる電力解析攻撃

[1] Daisuke Suzuki, Minoru Saeki, Tetsuya Ichikawa: DPA Leakage Models for CMOS Logic Circuits. CHES 2005: 366-382

ﾈｯﾄﾘｽﾄ,ﾃｽﾄﾍﾞﾝﾁ,ﾗｲﾌﾞﾗﾘ, 入力ﾃﾞｰﾀﾊﾟﾀｰﾝ

論理ｼﾐｭﾚｰﾀ

SAIF ﾌｧｲﾙ

電力情報抽出ﾂｰﾙ

電力情報ﾌｧｲﾙ

解析/攻撃ﾌﾟﾛｸﾞﾗﾑ：ﾌｧｲﾙ

：ﾂｰﾙ

電力解析攻撃用 PLI を開発

（SAIF：Switching Activity Interchange Format）

信号の遷移回数の総和を集計

電力解析攻撃のゲートのトグルカウントでシミュレートする提案[1]

：ﾂｰﾙ

：ﾌｧｲﾙ

解析/攻撃ﾌﾟﾛｸﾞﾗﾑ

電力情報ﾌｧｲﾙ

電力情報抽出ﾂｰﾙ

信号の遷移回数の総和を集計

SAIFﾌｧｲﾙ

論理ｼﾐｭﾚｰﾀ

ﾈｯﾄﾘｽﾄ,ﾃｽﾄﾍﾞﾝﾁ,ﾗｲﾌﾞﾗﾘ,

入力ﾃﾞｰﾀﾊﾟﾀｰﾝ

電力解析攻撃用PLIを開発

（SAIF：Switching Activity Interchange Format）




暗号回路に対する電力解析攻撃の評価環境を構築(後のSASEBOの踏み台)

(SCAPE:Side Channel. Attack Platform for Evalution)

サイドチャネル評価ボードの開発


FPGAシミュレーション

シミュレーションと実機の比較

[2] Daisuke Suzuki, Minoru Saeki: Security Evaluation of DPA Countermeasures Using Dual-Rail Pre-charge Logic Style. CHES 2006: 255-269

相補型論理

AND gateWDDL gate

OR gate

相補型論理による対策は、各ゲートが動作するタイミングまで合わせる必要があり実装が困難[2]

既存の対策技術の安全性評価

phase shift

[3]Daisuke Suzuki, Minoru Saeki, Tetsuya Ichikawa:Random Switching Logic: A Countermeasure against DPA based on Transition Probability. IACR Cryptology ePrint Archive 2004:[4]Minoru Saeki, Daisuke Suzuki, Koichi Shimizu, Akashi Satoh:A Design Methodology for a DPA-Resistant Cryptographic LSI with RSL Techniques. CHES 2009: 189-204



サイドチャネルセキュリティ対策技術の開発

サイドチャネルセキュリティ

[5]Takeshi Sugawara, Daisuke Suzuki, Minoru Saeki, Mitsuru Shiozaki, Takeshi Fujino:On Measurable Side-Channel Leaks Inside ASIC Design Primitives. CHES 2013: 159-178

2 PMOS are ON(1 case)

1 PMOS is ON1(2 cases)

The same shapeFor all the cases

A B

A

B

Y

A B

A

B

Y

Spike width< 1 ns Spike width> 1 ns

Current-path leak*が計測可能に。サイドチャネルセキュリティの難しさを実感。

*Y. Takahashi, ``Cryptographic Module Evaluation Methods for Resistance against Power Analysis Attacks,‘’ Doctoral thesis, Yokohama National University, 2012.

サイドチャネルセキュリティまとめ

私たちはそのとき合理的だと信じた「仮定」の下に、セキュアな回路や処理方式を提案する。

その仮定は、時間の経過で妥当ではなくなるかもしれないことを配慮しなければならない。

セキュリティ屋が考えた仮定の妥当性をICDの研究者はその専門性から確認することが望まれる(その逆も必要だと思う)。

アルゴリズムソフトウェアプロセッサ

ネットリストゲート

トランジスタ

安全性評価をする上での複雑度

Abstraction layers

仮定を変えなければならない

Current-path leakの例




・模倣品対策

これまで

暗号の高速演算

課題① 公開鍵暗号(特にRSA)が遅いので何とかしたい。特にFPGAで。

課題② ハードウェアが暗号の安全性に与える影響を把握したい。

モンゴメリ乗算、べき乗剰余演算

課題① 公開鍵暗号(特にRSA)が遅いので何とかしたい。特にFPGAで。

課題② ハードウェアが暗号の安全性に与える影響を把握したい。

MqU dii ′′= −

MUL_ABMUL_MQ(DSP48)

PU_ADD

VS_ADD

0

00

MUL_ABMUL_MQ(DSP48)

MUL_ABMUL_MQ(DSP48)

PU_ADD

VS_ADD

PU_ADD

VS_ADD

AbMqSS idik

ii +′′+= −+ 21 /

AbP ii =

iii UPV +=

kiii SVS 21 /+=+

clk2x(400MHz)

clk1x(200MHz)

>>17

>>17

0

C

A

B

BCIN

BCOUT PCOUT

P

opmode PCIN

A:B

18

18

36

48

4836

48

[6]Daisuke Suzuki: How to Maximize the Potential of FPGA Resources for Modular Exponentiation. CHES 2007: 272-288

DSPブロックの最大動作周波数でほぼストールなしで動くモンゴメリ乗算器とべき乗剰余演算器を構成[6]

当時のトップデータに対して回路規模半分、速度2倍

Single word (17 bit)multiplication

Double word (34bit) addition

暗号解読にハードウェアを利用する課題② ハードウェアが暗号の安全性に与える影響を把握したい。S.Kuma et.al. :Breaking Ciphers with COPACOBANA –A Cost-Optimized Parallel Code Breaker @CHES2006 から引用

S.Kuma et al. (CHES2006)

暗号解読にハードウェアを利用する課題② ハードウェアが暗号の安全性に与える影響を把握したい。

PCI FPGA Acceleration Board(High-speed cipher circuits)

PC(Software)

Communication

PGP(Pretty Good Privacy)のpassphrases 探索[7]ハードウェアによる高速化がはまった例

5

1 FPGA vs. 38 PCs

[7] Koichi Shimizu, Daisuke Suzuki, Toyohiro Tsurumaru: High-Speed Search System for PGP Passphrases. CANS 2008: 332-348

PGP Passphrases

22

Encryptionby a symmetric cipher

Used as a symmetric keyAsymmetric secret keySecret key(encrypted)

More effective to search for passphrasesthan for symmetric keys

Meaningful passphrasesinstead of random bytes Randomly chosen

enjoy cans2008Passphrase

PGPのパスフレーズ探索

Decryptionby AES-256

Passphrasegeneration S2K padding

Hashingby SHA-256

Final judgment(multiprecisionarithmetic)

Quick judgment

Software Hardware

PGPのパスフレーズ探索

Decryptionby AES-256

Passphrasegeneration S2K padding

Hashingby SHA-256

Final judgment(multiprecisionarithmetic)

Quick judgment

Software HardwareData transmissioncan be a bottleneck

Filters out incorrect datato reduce transmission andmultiprecision arithmetic

Very heavy

Data transmissioncan be a bottleneck

暗号の高速演算まとめ

その時代時代で暗号アルゴリズム(対象は変化する)を高速化する研究がある。今だと、ペアリング暗号や格子暗号。

実用化するためには、計算機アーキテクチャや費用対効果を含めて議論が必要。

Intelチップは速い。システム全体の視点で、ハードウェアアクセラレーションが本当に有効なのか検討が必要。




・模倣品対策

これまで

ハードウェアリバースエンジニアリングの脅威

• LSIの故障解析技術などを利用して鍵情報を抽出する– 埋め込み鍵やROMを電子顕微鏡などで読み取る

– マイクロプロービングでバスに流れるデータを読み取る

• 研究の上では，侵入・非侵入で攻撃を分類することが多い

• しかし，最弱点になるならば，対策をする必要がある– CCの認証レベルによっては，これらの攻撃もケアする必要がある

27

ツール(degate)で，論理ゲートの識別を行っている様子引用 http://www.degate.org/

リバースエンジニアリング対策

• 動的解析– アクティブシールドによるプロービングからの保護

• 静的解析– 冗長回路– メモリ暗号化 (鍵はどうする？）– PUF(Physical Unclonable Function)による鍵生成

（せめて）鍵だけなんとかしたい– 回路カモフラージュ回路全体をわからなくしたい

28

PUF(Physical Unclonable Function)回路のグリッチを利用することで固有の情報をつくる[8]

信号を入力

1 2 3

1 2

0を割り当て

1を割り当て

グリッチをビットに変換

偶数

奇数 LSI #3

LSI #1

LSI #2

1

0

1

入力を変えて繰り返しビットに変換し、「指紋」にする各LSIに同じ回路を実装

出力信号でグリッチ

が発生

方式の詳細

【LSIが満たすべき鍵の保護要件】(1) LSIを分解して解析されても鍵が漏れないこと

⇒ 動作したときだけ情報がつくられる。LSIを壊して探しても見つからない。(2) 回路を複写されても鍵は複写されないこと

⇒ 個体差を人工的に再現できない、情報を複写できない。

29[8]Daisuke Suzuki, Koichi Shimizu:The Glitch PUF: A New Delay-PUF Architecture Exploiting Glitch Shapes. CHES 2010: 366-382

回路カモフラージュ技術の安全性評価[9]

• Stealthy dopant-level circuits are visible with SEM

A SEM image of the test chip (contact layer): dopant-well configurations can be distinguished by different contrasts

Dopant-level trojanBecker et al.(CHES 2013)

Proposed to make trojans by modifying dopants

Dopant-programmable deviceShiozaki et al. (eprint 2014)

Anti reverse engineeringtechnique by the same principle

We measured a test chip with SEM

[8]Takeshi Sugawara, Daisuke Suzuki, Ryoichi Fujii, Shigeaki Tawa, Ryohei Hori, Mitsuru Shiozaki, Takeshi Fujino:Reversing Stealthy Dopant-Level Circuits. CHES 2014: 112-126

LSIの模倣品作成の難易度を量る目的で試すも、継続した研究は難しい

模倣品対策

暗号の鍵をどうやって保護するのかは、ハードウェアセキュリティにおいて重要なテーマ

ロジックをやめた当社ではこれよりプロセスに踏み込んだ研究は難しい。

どこまでの攻撃を想定するのか決めるのが大変。＜相場観の醸成＞

これから必要だと思うLSIとセキュリティに関する研究

32

これからここ10年で大きく変わったこと。

(1) 製品やシステムの開発プロセス全体でセキュリティを考えるのが当たり前に。(以前はCCをとるような製品でしか意識されていなかった。)＜セキュリティ開発プロセスの標準化＞

(2) あるレベルのあるセキュリティ機能を実現する手段はそろってきた。どこまでやるべきなのかを決めるのが大変に。＜相場観の醸成＞

(3) ほとんどの製品でセキュリティは主機能ではない。だから、競争領域ではなく協調領域。よって、簡単で安く、抜け漏れなくセキュリティ機能を実現できることが望ましい。＜プラットフォーム化＞

研究の方向性

・効率的なセキュリティ分析手法や脆弱性評価技術

・新しい脅威の評価、対策 (相場観の醸成そのものは研究になりにくい)

・新しいプラットフォームの評価と活用(本当は新しいプラットフォームを提案できるといいのだけれど…)

コーディング

効率的なセキュリティ分析手法や脆弱性評価技術

IEC 62443-4-1 (18/1/15にIS化)製品サプライヤに対するセキュアな開発ライフサイクルに関する規格製品が製品のライフサイクル全体を通じて、予想されるセキュリティリスクに見合ったセキュリティを備えていることを保証する。

Security management (SM)

Specification of security requirements (SR)

Secure by design (SD)

Secure implementation (SI)

Security verification and validation testing (SVV)

Management ofsecurity-related Issues(DM)

Security update management (SUM)

Security guidelines (SG)

コーディング

効率的なセキュリティ分析手法や脆弱性評価技術

IEC 62443-4-1 (18/1/15にIS化)製品サプライヤに対するセキュアな開発ライフサイクルに関する規格製品が製品のライフサイクル全体を通じて、予想されるセキュリティリスクに見合ったセキュリティを備えていることを保証する。

Security management (SM)

Specification of security requirements (SR)

Secure by design (SD)

Secure implementation (SI)

Security verification and validation testing (SVV)

Management ofsecurity-related Issues(DM)

Security update management (SUM)

Security guidelines (SG)

分析は手間がかかるので効率化が必要。脆弱性評価は、機能やインターフェースの多様性に対応する必要がある。「悪意」の想定がLSIのテストと大きな違い。

IoTアーキテクチャとセキュリティ課題

クラウド

インターネット

エッジ

Fフィールドネットワーク

マイコン/SoC/FPGA

ADC

センサ

DAC

アクチュエータ

IoT機器

・主要な構成要素は、1. クラウド2. エッジ3. 機器

・各レイヤーにおけるセキュリティ課題

【機器】課題1．ネットワークを汚染する「セキュリティの落ちこぼれ」機器の脆弱性対策

課題2．センシング情報の信頼性確保と、従来問題視されていなかった新たな脅威への対策

計測セキュリティ

Remote Attacks on Automated Vehicles Sensors: Experiments on Camera and LiDAR

・Black Hat Europe 2015で発表されたセンサ入力への攻撃

・LiDARへの反射光を偽装して入力することでなりすまし

・攻撃のセットアップは約６0ドル、但し実車ではなく実験室内でLiDAR単体に攻撃

Can You Trust Autonomous Vehicles: Contactless Attacks against Sensors of Self-driving Vehicle

・DEFCON 24 (2016/8)でTesla, Audi などの実車を用いた車載センサーへの攻撃が発表

・超音波センサに対するジャミングや、ノイズキャンセルの原理を用いた距離の改ざん

・ミリ波へのジャミングや距離のなりすましを確認 37

Black HatやDEFCONなど有名なカンファレンスで車載センサへの攻撃が発表

アクティブセンサのセキュリティの研究動向

C.Yan et al. (DEFCON24)

パッシブセンサのセキュリティの研究動向• 信号照射により、アナログ的にセンサデータを騙す

• 既存研究

ジャイロセンサへの攻撃音声認識の攻撃磁気センサの攻撃

Y. Son, et al. (USENIX 2015) G. Zhang, et al. (CCS 2017)Y. Shoukry, et al. (CHES 2013)

攻撃者

スピーカ

電磁石

センサ

センサデータ異常化

新しい脅威の評価、対策

・障害物接近を知らせる警告音がならない

・エンジン出力の抑制機能が働かない

ソナーセンサ

距離

ToF方式(Time of Flight)

センサへの攻撃がシステムの機能に貫通する（立命館大学との１５年度共同研究)

アクセルが強く踏み込まれた状態で，距離が一定の距離以下になるとエンジンの出力を抑制

フィールドでの安全性評価実験

【後方誤発進抑制制御機能】

攻撃で判明した機能への影響

外部から同じ周波数の超音波で攻撃

新しいプラットフォーム

40

Microsoft Azure Sphere @RSA Conference 2018

https://azure.microsoft.com/en-us/blog/introducing-microsoft-azure-sphere-secure-and-power-the-intelligent-edge/から引用


41

Google Cloud Platform Titan

https://cloudplatform.googleblog.com/2017/08/Titan-in-depth-security-in-plaintext.htmlから引用


42

Arm ‘iSim’ And 'Kigen'

https://www.tomshardware.com/news/arm-isim-kigen-cellular-iot-connectivity,36557.htmlから引用


43

Amazon AWS F1 インスタンス

FPGAを搭載したコンピューティングインスタンス。FPGAアクセラレーションの敷居が下がる。

引用 https://aws.amazon.com/jp/ec2/instance-types/f1/

新しいプラットフォームのセキュリティ

44

• 研究課題の一例– クラウドにFPGA が加わることにより，脅威が増大するのでは？– 暗号のアクセラレーションに使えるか？

攻撃者の仮想マシン

被害者の仮想マシン

ハイパーバイザー

①悪性ハードのロード

FPGA

②悪性ハードを用いた電気的・物理的な攻撃

*S. Trimberger and S. McNeil, “Security of FPGAs in Data Centers," 2017 IEEE 2nd International Verication and Security Workshop (IVSW), 2017.

菅原健, 崎山一男, 梨本翔永, 鈴木大輔, 永塚智之, “パブリッククラウド上のFPGAにおける悪性ハードウェア,” 2018年暗号と情報セキュリティシンポジウム (SCIS2018), 3D3-4, 8 pages, (Jan., 2018).

まとめ

・これまでやってきたHWとセキュリティに関する研究

「セキュアなのか？」をセキュリティ屋と回路屋で協力して議論を。高速化は王道のテーマだが、部品ではなくシステムで有効性を。

・これから必要だと思うHWとセキュリティに関する研究

個別のセキュリティ技術から、開発プロセスやシステム全体に関する包括的なセキュリティの取り組みに移行。

その中でも効率的なセキュリティ分析手法や脆弱性評価技術次の講演で

新しい脅威の評価、対策センサのセキュリティに注目

新しいプラットフォームの評価と活用続々とIoTプラットフォームが提案、機器ベンダとして利活用を検討FPGAアクセラレーションがようやく普及するか？

IoTで必要となる電子デバイスのセキュリティ�～機器ベンダの視点～自己紹介Quick summaryQuick summaryQuick summaryこれまでやってきたLSIとセキュリティに関する研究これまでこれまでサイドチャネルセキュリティシミュレーションによる電力解析攻撃サイドチャネル評価ボードの開発シミュレーションと実機の比較既存の対策技術の安全性評価サイドチャネルセキュリティ　　対策技術の開発サイドチャネルセキュリティサイドチャネルセキュリティ　まとめこれまで暗号の高速演算モンゴメリ乗算、べき乗剰余演算暗号解読にハードウェアを利用する暗号解読にハードウェアを利用するPGP PassphrasesPGPのパスフレーズ探索PGPのパスフレーズ探索暗号の高速演算　まとめこれまでハードウェアリバースエンジニアリングの脅威リバースエンジニアリング対策PUF(Physical Unclonable Function)回路カモフラージュ技術の安全性評価[9]模倣品対策これから必要だと思うLSIとセキュリティに関する研究これから効率的なセキュリティ分析手法や脆弱性評価技術効率的なセキュリティ分析手法や脆弱性評価技術IoTアーキテクチャとセキュリティ課題アクティブセンサのセキュリティの研究動向パッシブセンサのセキュリティの研究動向新しい脅威の評価、対策新しいプラットフォーム新しいプラットフォーム新しいプラットフォーム新しいプラットフォーム新しいプラットフォームのセキュリティまとめ

Documents

IoTで必要となる電子デバイスのセキュリティ ～機 …...– PUF(Physical Unclonable Function)による鍵生成 （せめて）鍵だけなんとかしたい –

IoTで必要となる電子デバイスのセキュリティ～機 …...– PUF(Physical Unclonable Function)による鍵生成（せめて）鍵だけなんとかしたい –