JP2022549980A - 差分解読法攻撃を防ぐ方法 - Google Patents
差分解読法攻撃を防ぐ方法 Download PDFInfo
- Publication number
- JP2022549980A JP2022549980A JP2021572578A JP2021572578A JP2022549980A JP 2022549980 A JP2022549980 A JP 2022549980A JP 2021572578 A JP2021572578 A JP 2021572578A JP 2021572578 A JP2021572578 A JP 2021572578A JP 2022549980 A JP2022549980 A JP 2022549980A
- Authority
- JP
- Japan
- Prior art keywords
- plaintext
- scan chain
- analysis module
- differential cryptanalysis
- plaintext analysis
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/75—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation
Abstract
本発明に係る差分解読法攻撃を防ぐ方法は、適応型スキャンチェーン、制御モジュールおよび平文分析モジュールによって実行され、平文分析モジュールにより適応型スキャンチェーンを制御することにより、1バイトのみにおける最後の1ビットが異なる2つの平文を、異なる構造のスキャンチェーンに入力させるため、元々差分解読法攻撃技術を使用して暗号化キーを解読できる2つの入力平文は、差分解読法攻撃技術で使用できる出力を生成できなくなる。複雑なスキャンチェーンと比較して、本発明に係る回路構造によれば、差分解読法攻撃を使用する攻撃者をある程度混乱させることができ、攻撃者が間違った暗号化キーを回復する可能性がある。テストの結果によれば、適応型スキャンチェーンの構造に基づく平文分析技術のセキュリティは、大幅に向上されたことが証明された。【選択図】図1
Description
本発明は、ハードウェアセキュリティの技術分野に関し、具体的には、高度暗号化規格(AES)回路のテストのための差分解読法攻撃を防ぐ方法に関する。
情報ネットワークは、その幅広い相互接続特性により、人々の生活や生産に大きな利便性をもたらし、現代社会の急速な発展を促進している一方、情報セキュリティの問題も引き起こされている。このようなことに鑑みて、学者達は「セキュリティチップ」という概念を提出し、その原理は、通常のチップの周辺において暗号化された回路を追加することである。このような暗号化された回路は、DES(Data Encryption Standard)、AES、RSAなどの暗号化アルゴリズムを利用して実現されうる。なお、テスト問題といえば、チップ製造プロセスにおいて生じる不具合を検出することを目的とする次のような実装原理を有するDFT技術について言及せざるを得ない。具体的には、スキャンチェーン技術を組み込むことにより、タイミングと組み合わせロジックとが混在するチップを純粋な組み合わせロジック回路に変換し、続いて、スキャンチェーンについてシフト(shift)およびキャプチャ(capture)操作を実行して、チップ内部の組み合わせロジックから応答を取得し、該応答を自動テストパターンジェネレーション(ATPG)によって生成された応答ベクトルと比較することにより、製造プロセスにおいてチップの不具合が生じたか否かを判断する。プロセスの改善に伴い、製造中に不具合が生じる確率はますます高くなっているため、DFT技術は広く応用されている。また、DFT技術の導入により、攻撃者はスキャンチェーンを利用して、チップに保存された完全に暗号化されていない情報を取得できる。これら完全に暗号化されていない情報に対する分析は、暗号化チップのセキュリティを大きく脅かし、その中でも、広く使用されている攻撃手法は、差分解読法である。このような攻撃方法は、暗号化キーを推測することにより、攻撃者が暗号化されていない機密情報を取得できるため、暗号化チップのセキュリティを大きく脅かし、個人のプライバシー情報の漏洩を引き起こしてしまう。
本発明は、入力平文の解析によってAES回路を保護できる差分解読法攻撃を防ぐ方法を提供することを目的とする。チップがリセットされた後にテストモードに切り替わったこと(アクション)が検出された場合、該アクションは制御モジュールによって記録される。該モジュールからの出力信号により、平文分析モジュールを動作開始させるか否かを決定する。平文分析モジュールが動作開始すると、チップの入力平文の解析を開始する。入力平文間の法則が差分解読法の平文法則と類似している場合、チップ内のスキャンチェーンの構造が変更される。スキャンチェーンの構造が変更されたことを知らずに、攻撃者はこの構造に騙される可能性はあるが、スキャンチェーンの構造を変更しても、完全に暗号化されていない情報が出力される場合があり、該情報は、スキャンチェーンの構造を変更する前の出力よりも複雑である。このようなさらに複雑な構造が攻撃者によって取得されると、チップも安全でなくなるため、これをもとに、適応型スキャンチェーンの構造が導入され、適応型スキャンチェーンは、通常のスキャンチェーンまたは複雑なスキャンチェーンに変更できる。したがって、平文分析モジュールは、現在入力されている平文に重要な情報が漏洩するリスクがあると判断した場合、平文を複雑なスキャンチェーンに通過させることにより、チップのセキュリティを大幅に向上できる。
本発明に係る差分解読法攻撃を防ぐ方法は、適応型スキャンチェーン、制御モジュールおよび平文分析モジュールによって実行され、
適応型スキャンチェーンは、平文分析モジュールの出力信号に応じて構造が変更され、平文分析モジュールの出力値が0である場合、スキャンチェーンは通常のスキャンチェーンであり、平文分析モジュールの出力値が1である場合、スキャンチェーンは複雑なスキャンチェーンであり、
制御モジュールは、テストモードにおいてのみ動作するように平文分析モジュールを制御し、
制御モジュールは、平文分析モジュールを動作開始させるか否かを決定し、平文分析モジュールの平文分析の各過程において、現在の入力平文と前の入力平文との間が1バイトのみにおける最後の1ビットが変更されたことが検出されると、平文分析モジュールは、出力値を変更することにより適応型スキャンチェーンの構造を変更させ、
前記方法は、
制御モジュールが、チップがリセットされた後にテストモードに切り替わったか否かを検出して、該切り替わりのアクションを記録し、平文分析モジュールを動作開始させるか否かを判断するステップ1と、
平文分析モジュールが、チップの入力平文の分析を開始し、現在の入力平文と前の入力平文との間において平文が差分解読法の平文法則を満たしている場合、現在の入力平文の通過するスキャンチェーン構造を変更するステップ2と、
適応型スキャンチェーンを通常のスキャンチェーンまたは複雑なスキャンチェーンに変換でき、平文分析モジュールが、現時点において入力された平文に重要な情報が漏洩するリスクがあると判断した場合、平文を複雑なスキャンチェーンに通過させ、解析の結果としてリスクがないと判断した場合、通常のスキャンチェーンに通過させるステップ3と、
を含む。
適応型スキャンチェーンは、平文分析モジュールの出力信号に応じて構造が変更され、平文分析モジュールの出力値が0である場合、スキャンチェーンは通常のスキャンチェーンであり、平文分析モジュールの出力値が1である場合、スキャンチェーンは複雑なスキャンチェーンであり、
制御モジュールは、テストモードにおいてのみ動作するように平文分析モジュールを制御し、
制御モジュールは、平文分析モジュールを動作開始させるか否かを決定し、平文分析モジュールの平文分析の各過程において、現在の入力平文と前の入力平文との間が1バイトのみにおける最後の1ビットが変更されたことが検出されると、平文分析モジュールは、出力値を変更することにより適応型スキャンチェーンの構造を変更させ、
前記方法は、
制御モジュールが、チップがリセットされた後にテストモードに切り替わったか否かを検出して、該切り替わりのアクションを記録し、平文分析モジュールを動作開始させるか否かを判断するステップ1と、
平文分析モジュールが、チップの入力平文の分析を開始し、現在の入力平文と前の入力平文との間において平文が差分解読法の平文法則を満たしている場合、現在の入力平文の通過するスキャンチェーン構造を変更するステップ2と、
適応型スキャンチェーンを通常のスキャンチェーンまたは複雑なスキャンチェーンに変換でき、平文分析モジュールが、現時点において入力された平文に重要な情報が漏洩するリスクがあると判断した場合、平文を複雑なスキャンチェーンに通過させ、解析の結果としてリスクがないと判断した場合、通常のスキャンチェーンに通過させるステップ3と、
を含む。
さらに、適応型スキャンチェーンの構造は、平文分析モジュールの出力値を受け付けるセレクタによって制御され、選択信号が0である場合、元のスキャンチェーンを変更させず、選択信号が1である場合、スキャンチェーンの構造を変更させる。
さらに、制御モジュールは、チップがリセットされた後にテストモードに入るアクションscan_en=1があるか否かを判断し、該アクションが発生した場合には記録を行い、具体的には、scan_mode信号が有効になっていることが検出されると、該モジュールからの出力信号がプルアップされ、平文分析モジュールが動作を開始する。
さらに、平文分析モジュールは、テストモードにおいてのみ有効になり、チップの電源が切られるまで動作を停止しない。
(1)平文分析モジュールにより適応型スキャンチェーンを制御することにより、1バイトのみにおける最後の1ビットが異なる2つの平文を、異なる構造のスキャンチェーンに入力させるため、元々差分解読法攻撃技術を使用して暗号化キーを解読できる2つの入力平文は、差分解読法攻撃技術で使用できる出力を生成できなくなる。
(2)複雑なスキャンチェーンと比較して、本発明によれば、差分解読法攻撃を使用する攻撃者をある程度混乱させることができる。キーを復元できる平文のペアが異なる構造のスキャンチェーンを通過しているため、第1ラウンドの暗号化後に取得したすべての値に対してXOR演算を行うと、結果における「1」の数が誤解を招き、攻撃者が間違った暗号化キーを回復する可能性がある。テストの結果によれば、適応型スキャンチェーンの構造に基づく平文分析技術のセキュリティは、大幅に向上されたことが証明された。
以下、図面を参照しながら、本発明に係る技術的解決手段についてさらに詳細に説明する。
本実施形態では、差分解読法攻撃から暗号解読チップを保護することが困難であるとの問題を解決するための改善を行い、平文を解析することによって差分解読法攻撃を防ぐ効果的な方法を革新的に実現する。
本実施形態では、差分解読法攻撃から暗号解読チップを保護することが困難であるとの問題を解決するための改善を行い、平文を解析することによって差分解読法攻撃を防ぐ効果的な方法を革新的に実現する。
差分解読法攻撃を防ぐための平文分析モジュールが供され、チップが機能モードにおいてのみ動作する場合、追加の電力消費を防ぐため、平文分析モジュールは動作しない。そして、チップがテストモードに入ることが検出されると、重要な情報が漏洩するリスクがあるため、この場合、平文分析モジュールは動作を開始する。本実施形態に係る3つのモジュールは、いずれもVerilogコードを使用してモデル化され、かつvcsによって検証されている。図1は、デザイン全体のブロック図である。さらに、1バイトのみにおける最後の1ビットが異なる2つの平文を、異なるスキャンチェーンを通過させるため、チップのセキュリティが向上される。
(1)差分解読法について
差分解読法を実現するためには、まず、スキャンチェーンの構造を決定し、続いて、128ビットの平文における1ビットを毎回変更する必要がある。平文ペアがスキャンチェーンに送信されると、AES暗号化の第1ラウンド後の出力結果のペアを取得できる。このような実験を多数行い、上述の結果の間においてXOR演算を行い、結果において「1」の発生する頻度をカウントする。頻度が1である場合、平文が初期ラウンドのみを完了したときの値を一意的に決定できるため、結果は値を一意に決定でき、平文もわかっているため、攻撃者は暗号化キーを取得できる。
差分解読法を実現するためには、まず、スキャンチェーンの構造を決定し、続いて、128ビットの平文における1ビットを毎回変更する必要がある。平文ペアがスキャンチェーンに送信されると、AES暗号化の第1ラウンド後の出力結果のペアを取得できる。このような実験を多数行い、上述の結果の間においてXOR演算を行い、結果において「1」の発生する頻度をカウントする。頻度が1である場合、平文が初期ラウンドのみを完了したときの値を一意的に決定できるため、結果は値を一意に決定でき、平文もわかっているため、攻撃者は暗号化キーを取得できる。
図2に示すように、2つの異なる平文バイトa1,1
1およびa1,1
2が入力されていると仮定すると、初期ラウンド操作の後、b1,1
1およびb1,1
2が取得される。f1▲+▼f2(▲+▼は、ビットXORの演算を表す。以下、同じ。)演算の結果におけるデータビットが「1」である個数は9、12、23または24であるため、表1に示されるように、f1▲+▼f2演算におけるデータビットが「1」である個数は、b1,1
1によって定められる。たとえば、f1▲+▼f2演算の結果におけるデータビットが「1」である個数が9である場合、b1,1
1およびb1,1
2の値は、(b1,1
1,b1,1
2)=(226,227)または(227,226)である。f1およびf2に対応する平文バイトaは既知であるため、式b=a▲+▼RK0によれば、RK0=a▲+▼bが得られ、暗号化キーを回復できる。
上記の分析により、暗号化キーRK0は、暗号化されたバイトペア(b1,1
1,b1,1
2)の値を取得することによって推定できることがわかる。暗号化キーRK0を推定できるすべての暗号化されたバイトペア(b1,1
1,b1,1
2)を二進数に変換すれば、暗号化されたバイトペア(b1,1
1,b1,1
2)の値の差が1であり、最後の1ビットのみが異なることがわかる。B=a▲+▼RK0が成り立つため、a=b▲+▼RK0も成り立つ。したがって、暗号化キーの回復に使用できる平文バイトペア(a1,1
1,a1,1
2)も、値の差が1であり、最後の1ビットのみが異なるという特性を満たしている。
平文分析攻撃は、以下の2つの条件を満たす必要がある。
1つは、入力平文は、1バイトにおける最後のビットが1だけ異なる。
もう1つは、攻撃段階では、テストモードと機能モードを繰り返して切り替える必要がある。
1つは、入力平文は、1バイトにおける最後のビットが1だけ異なる。
もう1つは、攻撃段階では、テストモードと機能モードを繰り返して切り替える必要がある。
上記差分解読法攻撃の1つ目の条件に対し、平文分析モジュールが提供され、暗号化キーの回復に使用可能な平文バイトペア(a1,1
1,a1,1
2)は、最後のビットの差が1である集合の部分集合に属するため、1バイトの最後のビットの差が1であることを、平文分析モジュールの選択条件とするとともに、暗号化キーの回復に使用可能な平文ペアの判断条件とする。また、差分解読法攻撃の2つ目の条件に応じて、制御モジュールが提供され、テストイネーブル信号が検出される限り、制御モジュールは、平文分析モジュールを動作開始させるための信号を出力し、平文分析モジュールと連携して適応型スキャンチェーンの構造を制御する。平文分析モジュールは、以前に入力された平文と現在入力されている平文とにおいて、1バイトにおける最後のビットが異なることを検出すると、スキャンチェーンの構造を変更するため、暗号化キーの回復に使用可能な平文ペアは、異なる構造のスキャンチェーンを通過し、f1とf2とのXOR結果を使用しても暗号化キーRK0を回復できなくなる。
(2)適応型スキャンチェーンの構造設計について
図3は、適応型スキャンチェーンの構造を示す図である。最後のスキャンレジスタのSI端子からインバータを接続し、インバータの出力端子をMUXの入力に接続し、MUXの出力をXORゲートの1つの入力に接続する。ここで、MUXは、平文分析モジュールから出力されるChange信号によって制御される。図3に示されるように、Change信号が「0」である場合、MUXからの出力は常に「0」であり、XORゲートの2つの入力において、1つは通常のスキャンチェーンからの出力であり、もう1つはMUXからの出力「0」であることがわかる。この場合、scan_out信号の出力は、通常のスキャンチェーンの値であり、現在のスキャンチェーンが通常のスキャンチェーンであることを示す。入力平文が差分解読法の特性を満たしていることを平文分析モジュールが検出した場合、すなわち、Change信号が「1」である場合、XORゲートの入力の1つは、引き続き通常のスキャンチェーンからの出力であるが、もう1つは、スキャンチェーンの最後から2番目のレジスタ値のNOTゲートを通過した後の負の値に変化する。この場合、スキャンチェーンの構造は既に変更されている。しかしながら、攻撃者はスキャンチェーンが変更されたことに気付いていない可能性があり、これは、スキャンチェーンが引き続き入出力操作を正常に実行できるためである。なお、攻撃者は、構造が変更されたスキャンチェーンを知っている場合でも、現時点において、スキャンチェーンの構造が変更されていないかあるいは既に変更されているかを判断できないため、重要な情報を取得できない。図6は、適応型スキャンチェーンのシミュレーション波形を示す図であり、Change信号によりスキャンチェーンの構造の変化を制御している。Change信号が「0」である場合、scan_out_dataは、入力平文data_inの通常のスキャンチェーンを通過した後の出力であり、Change信号が「1」である場合、スキャンチェーンの構造は複雑なスキャンチェーン構造に変化する。
図3は、適応型スキャンチェーンの構造を示す図である。最後のスキャンレジスタのSI端子からインバータを接続し、インバータの出力端子をMUXの入力に接続し、MUXの出力をXORゲートの1つの入力に接続する。ここで、MUXは、平文分析モジュールから出力されるChange信号によって制御される。図3に示されるように、Change信号が「0」である場合、MUXからの出力は常に「0」であり、XORゲートの2つの入力において、1つは通常のスキャンチェーンからの出力であり、もう1つはMUXからの出力「0」であることがわかる。この場合、scan_out信号の出力は、通常のスキャンチェーンの値であり、現在のスキャンチェーンが通常のスキャンチェーンであることを示す。入力平文が差分解読法の特性を満たしていることを平文分析モジュールが検出した場合、すなわち、Change信号が「1」である場合、XORゲートの入力の1つは、引き続き通常のスキャンチェーンからの出力であるが、もう1つは、スキャンチェーンの最後から2番目のレジスタ値のNOTゲートを通過した後の負の値に変化する。この場合、スキャンチェーンの構造は既に変更されている。しかしながら、攻撃者はスキャンチェーンが変更されたことに気付いていない可能性があり、これは、スキャンチェーンが引き続き入出力操作を正常に実行できるためである。なお、攻撃者は、構造が変更されたスキャンチェーンを知っている場合でも、現時点において、スキャンチェーンの構造が変更されていないかあるいは既に変更されているかを判断できないため、重要な情報を取得できない。図6は、適応型スキャンチェーンのシミュレーション波形を示す図であり、Change信号によりスキャンチェーンの構造の変化を制御している。Change信号が「0」である場合、scan_out_dataは、入力平文data_inの通常のスキャンチェーンを通過した後の出力であり、Change信号が「1」である場合、スキャンチェーンの構造は複雑なスキャンチェーン構造に変化する。
(3)制御モジュール回路設計について
図4は、制御モジュールを示す図であり、チップがリセットされた後、sampling_signal信号は常に1である。scan_modeが「1」であることが検出される場合、ANDゲートは「1」を出力し、ORゲートも「1」を出力するが、ORゲートにおいて出力される「1」がレジスタの入力に戻されるため、該モジュールからの出力は常に「1」である。言い換えれば、「1」に変化するscan_mode信号の動作が検出されると、モジュールは常に「1」を出力し、その後のscan_mode信号の変化とは無関係である。該モジュールからの出力は、平文分析モジュールを動作させるかまたは動作させないかの制御に使用される。ここで、レジスタは、出力を「1」に一定に保つためのキーである。図7は、制御モジュールのシミュレーション波形を示す図である。制御モジュールは、テストモード信号scan_modeが「1」に変わると、OUT信号を出力して平文分析モジュールの動作を開始させる。sample_signalは、scan_mode信号のサンプリング信号であり、チップが有効になった後は常に「1」である。
図4は、制御モジュールを示す図であり、チップがリセットされた後、sampling_signal信号は常に1である。scan_modeが「1」であることが検出される場合、ANDゲートは「1」を出力し、ORゲートも「1」を出力するが、ORゲートにおいて出力される「1」がレジスタの入力に戻されるため、該モジュールからの出力は常に「1」である。言い換えれば、「1」に変化するscan_mode信号の動作が検出されると、モジュールは常に「1」を出力し、その後のscan_mode信号の変化とは無関係である。該モジュールからの出力は、平文分析モジュールを動作させるかまたは動作させないかの制御に使用される。ここで、レジスタは、出力を「1」に一定に保つためのキーである。図7は、制御モジュールのシミュレーション波形を示す図である。制御モジュールは、テストモード信号scan_modeが「1」に変わると、OUT信号を出力して平文分析モジュールの動作を開始させる。sample_signalは、scan_mode信号のサンプリング信号であり、チップが有効になった後は常に「1」である。
(4)平文分析モジュールの設計について
図5は、平文分析モジュールにおける平文分析の各ラウンドのフローチャートである。平文分析モジュールは、開始モジュールからの出力信号によって有効(動作開始)になり、内部には、それぞれ16個の8*256のメモリブロックがあり、これにより現在スキャンチェーンに入力する必要のある平文を書き込む。平文分析の各ラウンドでは、以前に入力された平文をメモリブロックから読み取り(read_dataと称する)、現在書き込もうとする平文と分析比較を行う必要がある。次の表に示されるように、128ビットの平文は16バイトで構成され、各バイトが8ビットであるため、各メモリブロックの最大アドレスを255に設定し、各アドレスにおいて8ビットの平文を格納する。
図5は、平文分析モジュールにおける平文分析の各ラウンドのフローチャートである。平文分析モジュールは、開始モジュールからの出力信号によって有効(動作開始)になり、内部には、それぞれ16個の8*256のメモリブロックがあり、これにより現在スキャンチェーンに入力する必要のある平文を書き込む。平文分析の各ラウンドでは、以前に入力された平文をメモリブロックから読み取り(read_dataと称する)、現在書き込もうとする平文と分析比較を行う必要がある。次の表に示されるように、128ビットの平文は16バイトで構成され、各バイトが8ビットであるため、各メモリブロックの最大アドレスを255に設定し、各アドレスにおいて8ビットの平文を格納する。
各ラウンドの平文分析プロセスにおいて、write_dataのアドレスはi、i∈[0,255]であり、read_データのアドレスはj、j∈[0、i)である。write_en=0、かつ、read_en=1である場合、平文分析の各ラウンドが開始され、read_dataのアドレスは、以前にメモリブロックに格納されていたすべての入力平文バイトがトラバースされるまで、0から増え始める。平文分析の判断式は、read_data▲+▼write_data=8’h01である。read_dataが上記判断式を満たす場合、以前に入力された平文バイトと現在の平文バイトとは最後のビットが異なることを示し、平文分析モジュールは、適応型スキャンチェーンの構造の変更するためのトリガー信号を出力する。他方、read_dataが上記判断式を満たさない場合、平文分析モジュールからの出力信号は低レベルのままで、スキャンチェーンは通常のスキャンチェーンである。図8は、平文分析モジュールのシミュレーション波形を示す図であり、write_en=0、かつ、read_en=1である場合、平文分析の新しいラウンドが開始されることを示している。図8には、write_dataがそれぞれ4と9である2ラウンドの平文分析が示されている。write_data信号は、平文分析モジュールのメモリブロックおよびスキャンチェーンに現在書き込まれている平文バイトを表し、read_dataは、現在のラウンドにおいて平文分析が開始される前の全てのwrite_dataの値をトラバースする。この場合、平文分析モジュールは、判断式read_data▲+▼write_data=8’h01が真であるか否かを判断し、真(true)である場合、judge信号は「1」になる。したがって、平文分析の各ラウンドにおいて、judge信号が「1」に変化することが検出されると、判断式read_data▲+▼write_data=8’h01を満たすread_Dataが必ず存在することを示すため、change_mn(図8におけるchange_m1)信号はハイレベルにプルアップされ、一方で、平文分析の各ラウンドが終了する際、すなわち、write_en=1、かつ、read_en=0である場合、change_mn信号は、「0」にリセットされる。平文分析モジュールの全体において、judge信号がプルアップされるたび、現在の平文分析のラウンドにおいて現在入力されている平文バイトと前の平文バイトとで最後のビットが異なることがあることを示すため、平文分析モジュールはchange_mn(0<n<17)信号を1回変更させ、一方で、16個のメモリブロックにおけるすべてのchange_mn信号が最終的にXORsゲート構造(図9を参照)を通過するため、Change信号の最終的な変化を制御することにより適応型スキャンチェーンの構造の変化を引き起こす。
(5)セキュリティ分析について
差分解読法攻撃では、セキュリティ分析を実行するにより、入力平文の分析方法が効果的な保護を提供できるか否かを判断する。本発明において、セキュリティ分析は、差分解読法攻撃により機密情報を取得する難しさに基づく。差分解読法を使用して機密情報を取得するには、以下に示される2つの困難がある。
差分解読法攻撃では、セキュリティ分析を実行するにより、入力平文の分析方法が効果的な保護を提供できるか否かを判断する。本発明において、セキュリティ分析は、差分解読法攻撃により機密情報を取得する難しさに基づく。差分解読法を使用して機密情報を取得するには、以下に示される2つの困難がある。
1)中間値レジスタRのスキャンチェーン内における位置を決めることが困難
中間値レジスタの位置を決めるためには、ビット差が「1」である2つの平文を入力する必要があるが、適応型スキャンチェーンの構造が導入されていない前提において、平文における1ビットの変更により中間値の複数の特定のビットが変更される可能性があり、さらにこれらの変更はスキャンチェーンから正しく伝達されるため、攻撃者は、これに基づいてスキャンチェーン内における中間値レジスタの位置を特定できてしまう。適応型スキャンチェーンが導入された後、攻撃者は最初の平文と1ビットだけ異なる平文を入力する。2つの平文の間において、差が1ビットしかなく、かつ、差が1であるビットが平文の1バイトの最後のビットにおいて発生する確率が16/128である場合、平文分析モジュールは、スキャンチェーンの構造を変更する。この場合、スキャンチェーンの出力において変更されるビットは、中間値レジスタの位置に依存しなくなる(XORの関係によるため)。しかしながら、平文1バイトにおける最後のビットが1だけ異なる場合、スキャンチェーンの構造が変更されるため、攻撃段階において適応型スキャンチェーンの構造が明らかになる可能性がある。このため、適応型スキャンチェーンの構造が変更できることを明らかにしなくても、攻撃者により中間値レジスタの位置が決められる可能性は高くなり、確率は7/8である。したがって、この段階において、攻撃者がスキャンチェーンの構造が変更できることを知っている確率は1/8であると推測できる。攻撃者がこの段階においてK回の攻撃を行う必要がある場合、攻撃者により中間値レジスタの位置を正しく決める確率は(7/8)Kである。
中間値レジスタの位置を決めるためには、ビット差が「1」である2つの平文を入力する必要があるが、適応型スキャンチェーンの構造が導入されていない前提において、平文における1ビットの変更により中間値の複数の特定のビットが変更される可能性があり、さらにこれらの変更はスキャンチェーンから正しく伝達されるため、攻撃者は、これに基づいてスキャンチェーン内における中間値レジスタの位置を特定できてしまう。適応型スキャンチェーンが導入された後、攻撃者は最初の平文と1ビットだけ異なる平文を入力する。2つの平文の間において、差が1ビットしかなく、かつ、差が1であるビットが平文の1バイトの最後のビットにおいて発生する確率が16/128である場合、平文分析モジュールは、スキャンチェーンの構造を変更する。この場合、スキャンチェーンの出力において変更されるビットは、中間値レジスタの位置に依存しなくなる(XORの関係によるため)。しかしながら、平文1バイトにおける最後のビットが1だけ異なる場合、スキャンチェーンの構造が変更されるため、攻撃段階において適応型スキャンチェーンの構造が明らかになる可能性がある。このため、適応型スキャンチェーンの構造が変更できることを明らかにしなくても、攻撃者により中間値レジスタの位置が決められる可能性は高くなり、確率は7/8である。したがって、この段階において、攻撃者がスキャンチェーンの構造が変更できることを知っている確率は1/8であると推測できる。攻撃者がこの段階においてK回の攻撃を行う必要がある場合、攻撃者により中間値レジスタの位置を正しく決める確率は(7/8)Kである。
2)中間値レジスタRの値に基づいて暗号化キーを回復することが困難
適応型スキャンチェーンの導入により、スキャンチェーンが変更できることを知らずに、攻撃者が正しく暗号化キーRK0を回復することはとても困難である。以下では、スキャンチェーンを変更できることはわかっているが、変更されたスキャンチェーンの特定の回路構造を知らない場合、攻撃者により暗号化キーRK0を正常に回復する確率について説明する。暗号化キーの回復に使用可能な平文ペアの特徴に基づいて、仮に(2t,2t+1)が暗号化キーの回復に使用可能な平文バイトペアであるとする。まず、ステップ1において、攻撃者はスキャンテストモードで平文バイト2tをスキャンチェーンに送信し、平文分析モジュールは平文バイト2tを平文分析モジュールに同期送信する。この場合、判断式read_data▲+▼write_data=8’h01を満たさないため、平文分析モジュールから出力される信号は、スキャンチェーンの構造を変更せず、スキャンチェーンは通常のスキャンチェーンである。続いて、ステップ2において、攻撃者はスキャンテストモードで平文バイト2t+1をスキャンチェーンに送信する。この場合、判断式read_data▲+▼write_data=8’h01が満たされているため、平文分析モジュールから出力される信号は、スキャンチェーンの構造を変更させ、スキャンチェーンは複雑なスキャンチェーンに変更される。以上の2つのステップにより、暗号化キーの回復に使用可能な平文バイトペア(2t、2t+1)は、構造の異なるスキャンチェーンを通過し、暗号化キーは回復できなくなる。適応型スキャンチェーンのレジスタ構造の導入を、平文分析モジュールによりトリガーするため、上述した2つの困難は大幅に向上される。攻撃者が最初のステップ1において中間値レジスタの位置を決められたとしても、攻撃者がステップ2での攻撃を行うためには、やはり差分解読法を使用する必要があるが、適応型スキャンチェーンにより暗号化キーの回復に使用可能な平文のペアが異なるスキャンチェーンに導かれるため、攻撃者は暗号化キーRK0を回復できない。
適応型スキャンチェーンの導入により、スキャンチェーンが変更できることを知らずに、攻撃者が正しく暗号化キーRK0を回復することはとても困難である。以下では、スキャンチェーンを変更できることはわかっているが、変更されたスキャンチェーンの特定の回路構造を知らない場合、攻撃者により暗号化キーRK0を正常に回復する確率について説明する。暗号化キーの回復に使用可能な平文ペアの特徴に基づいて、仮に(2t,2t+1)が暗号化キーの回復に使用可能な平文バイトペアであるとする。まず、ステップ1において、攻撃者はスキャンテストモードで平文バイト2tをスキャンチェーンに送信し、平文分析モジュールは平文バイト2tを平文分析モジュールに同期送信する。この場合、判断式read_data▲+▼write_data=8’h01を満たさないため、平文分析モジュールから出力される信号は、スキャンチェーンの構造を変更せず、スキャンチェーンは通常のスキャンチェーンである。続いて、ステップ2において、攻撃者はスキャンテストモードで平文バイト2t+1をスキャンチェーンに送信する。この場合、判断式read_data▲+▼write_data=8’h01が満たされているため、平文分析モジュールから出力される信号は、スキャンチェーンの構造を変更させ、スキャンチェーンは複雑なスキャンチェーンに変更される。以上の2つのステップにより、暗号化キーの回復に使用可能な平文バイトペア(2t、2t+1)は、構造の異なるスキャンチェーンを通過し、暗号化キーは回復できなくなる。適応型スキャンチェーンのレジスタ構造の導入を、平文分析モジュールによりトリガーするため、上述した2つの困難は大幅に向上される。攻撃者が最初のステップ1において中間値レジスタの位置を決められたとしても、攻撃者がステップ2での攻撃を行うためには、やはり差分解読法を使用する必要があるが、適応型スキャンチェーンにより暗号化キーの回復に使用可能な平文のペアが異なるスキャンチェーンに導かれるため、攻撃者は暗号化キーRK0を回復できない。
以上の通りで、本発明の好ましい実施形態について説明したが、本発明の保護範囲は、上記実施形態に限定されない。なお、本明細書において説明された内容に基づいて、いわゆる当業者は、均等範囲内において改良または変更を行うことができるが、これらは、特許請求の範囲に示された保護範囲に含まれるべきである。
Claims (4)
- 適応型スキャンチェーン、制御モジュールおよび平文分析モジュールによって実行される差分解読法攻撃を防ぐ方法であって、
前記適応型スキャンチェーンは、平文分析モジュールの出力信号に応じて構造が変更され、平文分析モジュールの出力値が0である場合、スキャンチェーンは通常のスキャンチェーンであり、平文分析モジュールの出力値が1である場合、スキャンチェーンは複雑なスキャンチェーンであり、
前記制御モジュールは、テストモードにおいてのみ動作するように平文分析モジュールを制御し、
前記制御モジュールは、平文分析モジュールを動作開始させるか否かを決定し、平文分析モジュールの平文分析の各過程において、入力平文間で1バイトのみにおける最後の1ビットが変更されたことが検出されると、平文分析モジュールは、出力値を変更することにより適応型スキャンチェーンの構造を変更させ、
前記方法は、
前記制御モジュールが、チップがリセットされた後にテストモードに切り替わったか否かを検出して、該切り替わりのアクションを記録し、平文分析モジュールを動作開始させるか否かを判断するステップ1と、
前記平文分析モジュールが、チップの入力平文の分析を開始し、現在の入力平文と前の入力平文との間において平文が差分解読法の平文法則を満たしている場合、現在の入力平文の通過するスキャンチェーン構造を変更するステップ2と、
適応型スキャンチェーンを通常のスキャンチェーンまたは複雑なスキャンチェーンに変換でき、平文分析モジュールが、現時点において入力された平文に重要な情報が漏洩するリスクがあると判断した場合、平文を複雑なスキャンチェーンに通過させ、解析の結果としてリスクがないと判断した場合、通常のスキャンチェーンに通過させるステップ3と、
を含む、差分解読法攻撃を防ぐ方法。 - 前記適応型スキャンチェーンの構造は、平文分析モジュールの出力値を受け付けるセレクタによって制御され、選択信号が0である場合、元のスキャンチェーンを変更させず、選択信号が1である場合、スキャンチェーンの構造を変更させる、ことを特徴とする請求項1に記載の差分解読法攻撃を防ぐ方法。
- 前記制御モジュールは、チップがリセットされた後にテストモードに入るアクションscan_en=1があるか否かを判断し、該アクションが発生した場合には記録を行い、具体的には、scan_mode信号が有効になっていることが検出されると、該モジュールからの出力信号がプルアップされ、平文分析モジュールが動作を開始する、ことを特徴とする請求項1に記載の差分解読法攻撃を防ぐ方法。
- 前記平文分析モジュールは、テストモードにおいてのみ有効になり、チップの電源が切られるまで動作を停止しない、ことを特徴とする請求項1に記載の差分解読法攻撃を防ぐ方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011171755.XA CN112000996B (zh) | 2020-10-28 | 2020-10-28 | 一种阻止差分密码分析攻击的方法 |
| CN202011171755.X | 2020-10-28 | ||
| PCT/CN2021/080486 WO2022088584A1 (zh) | 2020-10-28 | 2021-03-12 | 一种阻止差分密码分析攻击的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2022549980A true JP2022549980A (ja) | 2022-11-30 |
| JP7270172B2 JP7270172B2 (ja) | 2023-05-10 |
Family
ID=73475178
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021572578A Active JP7270172B2 (ja) | 2020-10-28 | 2021-03-12 | 差分解読法攻撃を防ぐ方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11520934B2 (ja) |
| JP (1) | JP7270172B2 (ja) |
| CN (1) | CN112000996B (ja) |
| WO (1) | WO2022088584A1 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112000996B (zh) * | 2020-10-28 | 2021-06-18 | 南京邮电大学 | 一种阻止差分密码分析攻击的方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10123949A (ja) * | 1996-08-28 | 1998-05-15 | N T T Data Tsushin Kk | 共通鍵暗号方法及び方式 |
| JPH10123222A (ja) * | 1996-10-18 | 1998-05-15 | Samsung Electron Co Ltd | テスト回路 |
| JP2006054568A (ja) * | 2004-08-10 | 2006-02-23 | Sony Corp | 暗号化装置、復号化装置、および方法、並びにコンピュータ・プログラム |
| CN103997402A (zh) * | 2014-05-30 | 2014-08-20 | 中国科学院深圳先进技术研究院 | 一种加密芯片安全性能测试方法和装置 |
| CN106646203A (zh) * | 2016-12-16 | 2017-05-10 | 北京航空航天大学 | 一种防止利用扫描链攻击集成电路芯片的动态混淆扫描链结构 |
| CN107703442A (zh) * | 2017-07-17 | 2018-02-16 | 天津大学 | 基于抗差分扫描攻击的数据置乱安全扫描装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7181017B1 (en) * | 2001-03-23 | 2007-02-20 | David Felsher | System and method for secure three-party communications |
| US9015301B2 (en) * | 2007-01-05 | 2015-04-21 | Digital Doors, Inc. | Information infrastructure management tools with extractor, secure storage, content analysis and classification and method therefor |
| US8307351B2 (en) * | 2009-03-18 | 2012-11-06 | Oracle International Corporation | System and method for performing code provenance review in a software due diligence system |
| CN112000996B (zh) | 2020-10-28 | 2021-06-18 | 南京邮电大学 | 一种阻止差分密码分析攻击的方法 |
-
2020
- 2020-10-28 CN CN202011171755.XA patent/CN112000996B/zh active Active
-
2021
- 2021-03-12 WO PCT/CN2021/080486 patent/WO2022088584A1/zh active Application Filing
- 2021-03-12 JP JP2021572578A patent/JP7270172B2/ja active Active
- 2021-03-12 US US17/614,334 patent/US11520934B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10123949A (ja) * | 1996-08-28 | 1998-05-15 | N T T Data Tsushin Kk | 共通鍵暗号方法及び方式 |
| JPH10123222A (ja) * | 1996-10-18 | 1998-05-15 | Samsung Electron Co Ltd | テスト回路 |
| JP2006054568A (ja) * | 2004-08-10 | 2006-02-23 | Sony Corp | 暗号化装置、復号化装置、および方法、並びにコンピュータ・プログラム |
| CN103997402A (zh) * | 2014-05-30 | 2014-08-20 | 中国科学院深圳先进技术研究院 | 一种加密芯片安全性能测试方法和装置 |
| CN106646203A (zh) * | 2016-12-16 | 2017-05-10 | 北京航空航天大学 | 一种防止利用扫描链攻击集成电路芯片的动态混淆扫描链结构 |
| CN107703442A (zh) * | 2017-07-17 | 2018-02-16 | 天津大学 | 基于抗差分扫描攻击的数据置乱安全扫描装置 |
Non-Patent Citations (2)
| Title |
|---|
| 於久 太祐 他: "鍵長128ビット,192ビット,256ビットの軽量暗号CLEFIAに対するスキャンベース攻撃手法", 電子情報通信学会技術研究報告, vol. 117, no. 480, JPN6022052178, 2018, JP, pages 251 - 256, ISSN: 0004943627 * |
| 跡部 悠太 他: "ランダムオーダースキャンによるセキュアスキャン設計", 第26回 回路とシステムワークショップ 論文集, JPN6022052179, 2013, JP, pages 448 - 453, ISSN: 0004943626 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US20220300662A1 (en) | 2022-09-22 |
| US11520934B2 (en) | 2022-12-06 |
| JP7270172B2 (ja) | 2023-05-10 |
| CN112000996B (zh) | 2021-06-18 |
| WO2022088584A1 (zh) | 2022-05-05 |
| CN112000996A (zh) | 2020-11-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Yang et al. | Secure scan: A design-for-test architecture for crypto chips | |
| WO2019140218A1 (en) | An autonomous, self-authenticating and self-contained secure boot-up system and methods | |
| Das et al. | PUF-based secure test wrapper design for cryptographic SoC testing | |
| CN109633422B (zh) | 基于扫描混淆的加密芯片安全测试方法 | |
| CN109766729B (zh) | 一种防御硬件木马的集成电路及其加密方法 | |
| Wang et al. | Fault rate analysis: Breaking masked AES hardware implementations efficiently | |
| Mukhopadhyay et al. | CryptoScan: A secured scan chain architecture | |
| Luo et al. | A new countermeasure against scan-based side-channel attacks | |
| JP7270172B2 (ja) | 差分解読法攻撃を防ぐ方法 | |
| Socha et al. | Attacking AES implementations using correlation power analysis on ZYBO Zynq-7000 SoC board | |
| Sao et al. | Co-relation scan attack analysis (COSAA) on AES: A comprehensive approach | |
| Huang et al. | Trace buffer attack: Security versus observability study in post-silicon debug | |
| Banik et al. | Improved scan-chain based attacks and related countermeasures | |
| Sao et al. | Security analysis of state-of-the-art scan obfuscation technique | |
| Ziener et al. | Configuration tampering of BRAM-based AES implementations on FPGAs | |
| Ahlawat et al. | On securing scan design from scan-based side-channel attacks | |
| Sao et al. | Security analysis of scan obfuscation techniques | |
| Joshi et al. | SPSA: Semi-Permanent Stuck-At fault analysis of AES Rijndael SBox | |
| Wang et al. | An effective technique preventing differential cryptanalysis attack | |
| Mukhopadhyay et al. | Testability of cryptographic hardware and detection of hardware Trojans | |
| CN109581183B (zh) | 一种集成电路的安全测试方法与系统 | |
| Zhou et al. | How to secure scan design against scan-based side-channel attacks? | |
| TW202301159A (zh) | 資安保護系統及資安保護方法 | |
| Sao et al. | Evaluating security of new locking SIB-based architectures | |
| Rahman et al. | Design of a built-in-self-test implemented AES crypto processor ASIC |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220417 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20220417 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20221213 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230312 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230404 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230412 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7270172 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |