独立行政法人情報通信研究機構(以下「NICT」、理事長: 宮原 秀夫)は、国立大学法人電気通信大学(学長: 梶谷 誠)、株式会社東芝(代表執行役社長: 佐々木 則夫)と共同で、暗号・認証に用いる秘密情報を物理的攻撃から保護する専用記憶回路を持たない機器において秘密情報を秘匿管理する技術について、統計学的評価に必要な大規模の実証システムを構築し、その安全性を世界で初めて実証しました。
今後、環境条件を考慮しながら機器の動作範囲を広げる研究開発を重ねることで、各機器を低コストで製造しなければならないM2M(Machine-to-Machine)通信やサイバーフィジカルシステムなどにおいても、安全な暗号・認証が実現可能となります。
現代の情報システムには、情報セキュリティの観点から様々な暗号技術が用いられています。従来、ICチップを用いて暗号・認証を行うためには、それらの機能を実現する暗号演算回路と共に、認証に必要な秘密情報を漏えいから守る回路を実装する必要がありました。この秘密情報を守る回路は、様々な物理的攻撃を考慮する必要があるため、これまでICカードなどの製造コストを押し上げる要因となっていました。
特に、近年活発となっているM2Mと呼ばれる機器間の通信では、機器のコストがPCに比べて非常に低価格であることが求められています。このような機器に対して安全な暗号・認証技術を実装することは、ICチップのコスト及び物理的な実装規模(半導体の数)の制約により困難でした。そこで、より低コストで暗号・認証機能を実装することのできるICチップの実現技術の確立と、その安全性の実証が求められていました。
今後、さらに、温度や湿度など幅広い物理的条件を変化させた場合の安全性を評価するための実証実験を行い、機器の動作範囲を広げる研究開発を実施してまいります。
なお、本成果について、平成25年1月22日(火)~25日(金)に、京都で開催される「2013年暗号と情報セキュリティシンポジウム(SCIS2013)」で発表します。
現代の情報システムでは秘密情報を扱う場面が非常に多くなっています。そのため、様々な暗号・認証技術を利用して情報セキュリティを十分に確保する必要があります。現在広く使われている暗号・認証技術の多くは、十分な演算処理能力を持つサーバやパソコンでの動作を想定して設計されています。
しかし、近年スマートメーターやセンサなど、サーバやパソコンに比べて処理能力の低い機器がネットワークに接続される、M2Mやサイバーフィジカルシステムと呼ばれる通信形態が注目を浴び、新たなサービスが実現されています。このようなサービスでは、大量の機器が必要であることから、一つ一つの機器は安価に製造する必要があります。NICT、電気通信大学及び東芝は、このような機器においても十分な安全性を有する暗号・認証技術についての共同研究を行ってきました。
一般的に、暗号・認証技術をハードウェアで実現するためには、(1)暗号・認証のための演算を行う回路及び(2)暗号・認証に必要な秘密情報が漏えいしないように管理する回路(鍵管理部)が必要です。このうち、(2)鍵管理部は、様々な物理的な手段によって秘密情報を取得しようという攻撃に耐性を持たせる耐タンパ性が必要であり、現在広く使われているICカード等で利用されるICチップにも、この回路が実装されています。一方で、この鍵管理部の設計・製造コストは、ICチップの製造コストを押し上げる要因となっており、個々の機器を大量かつ安価に製造しなければならないサービスの普及の妨げとなっていました。
近年、この鍵管理部をチップの物理的な個体差を用いて代替する「物理的複製困難関数(PUF)」という技術が登場しています。この技術は、個々人で異なる人間の指紋を利用してバイオメトリクス認証を実現するのと同様に、個々のICチップの物理的特性を指紋のように利用して暗号・認証機能を実現します。PUFは、PUFとして使用するICチップの物理的特徴を取り出して複製することが困難であるため、これまで必要だった鍵管理部は不要となり、コスト面で大きなメリットがあります。一方で、ICチップの個体差が持つ安全性は、バイオメトリクス認証と同様に、統計学的に証明する必要があります。これまで、PUFは、理論的な構成方法の研究が中心であり、複数のPUFやその応用を実際のICチップで実現した際の安全性を統計学的に有意な量のサンプルを用いて評価した例はありませんでした。
今回の研究成果は、NICTが保有する100台のICチップ用の実験機器を用いて、一般的なメモリ用IC であるSRAMのみを利用するSRAM-PUFと、2線式回路を実装したArbiter-PUFに対して、世界で初めて統計学的に意味のある規模で、PUFを用いる鍵管理方式の安全性を実証したものになります。この結果、鍵管理部が存在しないICチップでも、低コストで暗号・認証が実現できることが実証されました。
今回の実証実験では、NICTが所有する100台の実験機器に、電気通信大学と東芝が共同開発した鍵管理方式PMKG-RTを実装し、安全に暗号鍵の生成・管理が行える制御パラメータを実験的に算出しました。今回は、PMKG-RTのコア技術であるPUF回路として、電力投入時のメモリ上のデータばらつきを利用するSRAM-PUF及びFPGA上に2線式回路を実装したArbiter-PUFを利用しました。
PMKG-RTは、秘密情報を不揮発性メモリに記憶しない代わりに、PUFを用いて暗号・認証時に必要となる鍵を一時的に生成します。実験では、SRAM-PUFとArbiter-PUFのそれぞれについて、PUFを実装した異なる100台の機器に同一のデータを入力したときに、固有の機器でも試行ごとにPUFから出力される情報は誤差が生じて異なること及び出力に機器ごとの差異があることを確認しました。PMKG-RTは、初期設定において、鍵をランダムに選択し、PUFの出力を鍵の値だけ巡回シフトした値を、耐タンパ性を必要としない不揮発性メモリに記憶します。そして、PMKG-RTは、暗号・認証時に鍵が必要となる場面において、PUFの出力を1ビットずつ巡回シフトし、不揮発性メモリに記憶された値とのパターン照合に合格するシフト量を探索することで鍵を再現します。また、1回の巡回シフトとパターン照合により管理できる鍵はビット長が短いため、PMKG-RTは、巡回シフトとパターン照合を繰り返すことで、安全な暗号・認証を実現するための暗号鍵を管理します。今回は、PUFの出力を256ビットと定め、出力誤差の許容範囲を10ビット刻みで設定して実験を繰り返した結果、Arbiter-PUFを用いる場合は30から40ビット、SRAM-PUFを用いる場合では50から70ビットの出力誤差を許容し、PMKG-RTが機器固有の暗号鍵を正しく生成・管理できることを確認しました。
上記の結果より、SRAM-PUFやArbiter-PUFを構成し、鍵管理を安全に行うためにPUFを利用する方法(制御回路の設定)を導出し、暗号応用への実用性を示すことができました。
電気通信大学と東芝が共同開発した、「ICチップの指紋」を利用して秘密情報を秘匿管理する技術。ICチップの固有値(指紋)と秘密情報の演算結果を秘匿することなく、低コストで管理し、演算結果とICチップの固有値から秘密情報を復元して利用する技術
Physically Unclonable Function。装置固有の物理的特性を利用して、同一の入力から装置固有の異なる出力を導く技術。バイオメトリクスに対比して、人工物メトリクスとも呼ばれる。
松尾 真一郎
Tel: 042-327-5782
E-mail: 
﨑山 一男
Tel: 042-443-5767
E-mail: 
廣田 幸子
Tel: 042-327-6923
E-mail: 
井田、和田
Tel: 042-443-5019
E-mail: 
Tel: 03-3457-2100
