JPWO2013088939A1 - 識別情報生成装置及び識別情報生成方法 - Google Patents
識別情報生成装置及び識別情報生成方法 Download PDFInfo
- Publication number
- JPWO2013088939A1 JPWO2013088939A1 JP2013549193A JP2013549193A JPWO2013088939A1 JP WO2013088939 A1 JPWO2013088939 A1 JP WO2013088939A1 JP 2013549193 A JP2013549193 A JP 2013549193A JP 2013549193 A JP2013549193 A JP 2013549193A JP WO2013088939 A1 JPWO2013088939 A1 JP WO2013088939A1
- Authority
- JP
- Japan
- Prior art keywords
- identification information
- bits
- information
- unit
- output
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
- H04L9/3278—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response using physically unclonable functions [PUF]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/24—Key scheduling, i.e. generating round keys or sub-keys for block encryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
完全な個体識別性が保証された識別情報を生成することができる識別情報生成装置を提供する。本発明の識別情報生成装置は、物理的複製が不可能で、同じ応答要求に対して同一の応答出力を行う識別情報出力部から出力された、rビット(rは2以上の整数)の第1の識別情報から、kビット(kは1以上の整数)の暗号化鍵及び(r−m)ビット(mは1以上の整数)の第2の識別情報を分離する情報分離部と、第2の識別情報とx台の装置を識別可能なmビットの第3の識別情報を連接し、第4の識別情報を出力する情報連接部と、暗号化鍵を用いて第4の識別情報に所定の処理を施し、rビットの第5の識別情報を生成する暗号化部とを備える。
Description
本発明は、個体を識別することができる識別情報を生成する識別情報生成装置及び識別情報生成方法に関する。
近年、モバイル機器やIC(Integrated Circuit)カードなどの機器において、偽造や情報漏洩などを防ぐためのセキュリティが重要になってきている。このとき、個々の機器にID(Identification Data。識別情報)を付与し、そのIDを機器認証や暗号化などのセキュリティ処理で利用することが多い。このようなセキュリティ処理により、ある機器のセキュリティが破られても、その影響が他機器へ連鎖することを防止する等の効果を得ることができる。
通常、個体によって異なるIDを生成する機構は、安全性の観点から、ソフトウェアではなくハードウェアによって実現される。ハードウェアとしては、例えばLSI(Large Scale IC)等の半導体素子が用いられる。この場合、個々の半導体素子ごとに製造マスクを変えることは、現実的ではない。そのため、IDの値(以降、IDの数値自体を意味するときは、「ID値」という。)は、半導体素子の論理回路等に埋め込まれるのではなく、不揮発メモリ(NVRAM。Non−Volatile Random Access Memory)に書き込まれたり、半導体素子上のヒューズを切ることによって設定されたりする。
一方、半導体素子に対する、物理的攻撃やサイドチャネル攻撃等の手法は年々進歩しており、NVRAMやヒューズなどの手法で設定されたIDが解読されたり改竄されたりする危険性が高まっている。
このような危険に対応するために、物理的複製不可能関数(以降、「PUF(Physical Unclonable Function)という。)と呼ばれる、改竄が困難な、すなわち、耐タンパ性に優れたID生成機構が用いられることがある。PUF回路は、PUFの機構を実現する回路であり、例えばLSIの製造ばらつきで生じる回路の速度差など、LSIの個体ごとに異なる物理的特性又は電気的特性(以降、単に「物理的特性」という。)を測定した結果を、ID値として出力する。
一般に、完全に同一の物理的特性を備えた装置を複製することは不可能である。従って、個体ごとの物理的特性の差を利用するPUF回路は、「複製不能性」を備える。また、個体ごとの物理的特性値を正確に予測することも不可能である。従って、PUF回路が出力するID値は、値の予測が不可能な「予測不能性」を備える。
典型的なPUFとして、リングオッシレータの発振周波数、回路の遅延時間差、電源投入直後のメモリの初期値などの物理的特性の個体間の違いをID値として利用する手法が、特開2011−123909(以降、「特許文献1」という。)やG.Edward Suh,S.Devadas,″Physical Unclonable Functions for Device Authentication and Secret Key Generation,″DAC 2007,pp.9−14(以降、「非特許文献1」という。)、S.Eiroa,I.Baturone,″Hardware authentication basedon PUFs and SHA−3 2nd round candidates,″ICM 2010,pp.319−322(以降、「非特許文献2」という。)、M.Yu,S.Devadas,″Secure and Robust Error Correction for Physical Unclonable Functions,″IEEE Design and Test of Computers,Vol.27,No.1,pp.48−65.(以降、「非特許文献3」という。)に開示されている。
PUFへの入力はチャレンジ(Challenge)と呼ばれ、チャレンジに対するPUFが返す出力はレスポンス(Response)と呼ばれる。PUFの利用目的から、同じチャレンジに対して返るレスポンスには、同じ個体については常に同じ値となり、違う個体同士では必ず異なる値になることが求められる。
以降、「同じチャレンジに対して常に同じレスポンスが得られること」を「同一応答性」といい、同じチャレンジに対して、違う個体同士では必ず異なるレスポンスが得られること」を、「個体識別性」という。
ところが、現実のPUFにおいては、同じ個体に同じチャレンジを投入しても、チャレンジの投入ごとに異なる値が返るという現象が発生することがある。すなわち、現実のPUFは、必ずしも同一応答性を備えない。そこで、エラー訂正を行うことにより、同じチャレンジに対して同じレスポンスが得られるように対策する方法が非特許文献3に開示されている。
LSI製造時に不揮発メモリやヒューズにID値を設定する方法と異なり、LSIの製造ばらつきを利用するPUFにおいては、LSIの製造が完了しないとPUFが生成するID値が判明しない。しかも、PUFが特定のID値を生成できるように、製造を制御することもできない。
このため、個々のLSIに組み込まれたPUFが、過去に製造した全てのLSIとは異なるID値を生成するかどうかを、LSIの製造後にテストしなければならない。ところが、このテストは、過去に製造した、同じPUFが組み込まれた同じ種類のLSIの全てを対象にしなければならないため、テストには時間を要する。もし同じID値を生成するPUFが発見された場合は、そのPUFが組み込まれたLSIは出荷することができないため、廃棄しなければならない。そのため、PUFが組み込まれたLSIでは、歩留まりが悪化する。そして、長いテスト時間や歩留まりの悪化は、コストアップの原因となる。また、LSIが製造後のテストを通過したとしても、PUFが物理的特性や電気的特性を利用していることから、依然として課題は残る。すなわち、出荷後のLSIの利用時において、温度等の動作条件の変化により、あるPUFが他のLSIのPUFと同じID値を生成する可能性、すなわち、個体識別性が確保できない可能性がある。
通常、個体によって異なるIDを生成する機構は、安全性の観点から、ソフトウェアではなくハードウェアによって実現される。ハードウェアとしては、例えばLSI(Large Scale IC)等の半導体素子が用いられる。この場合、個々の半導体素子ごとに製造マスクを変えることは、現実的ではない。そのため、IDの値(以降、IDの数値自体を意味するときは、「ID値」という。)は、半導体素子の論理回路等に埋め込まれるのではなく、不揮発メモリ(NVRAM。Non−Volatile Random Access Memory)に書き込まれたり、半導体素子上のヒューズを切ることによって設定されたりする。
一方、半導体素子に対する、物理的攻撃やサイドチャネル攻撃等の手法は年々進歩しており、NVRAMやヒューズなどの手法で設定されたIDが解読されたり改竄されたりする危険性が高まっている。
このような危険に対応するために、物理的複製不可能関数(以降、「PUF(Physical Unclonable Function)という。)と呼ばれる、改竄が困難な、すなわち、耐タンパ性に優れたID生成機構が用いられることがある。PUF回路は、PUFの機構を実現する回路であり、例えばLSIの製造ばらつきで生じる回路の速度差など、LSIの個体ごとに異なる物理的特性又は電気的特性(以降、単に「物理的特性」という。)を測定した結果を、ID値として出力する。
一般に、完全に同一の物理的特性を備えた装置を複製することは不可能である。従って、個体ごとの物理的特性の差を利用するPUF回路は、「複製不能性」を備える。また、個体ごとの物理的特性値を正確に予測することも不可能である。従って、PUF回路が出力するID値は、値の予測が不可能な「予測不能性」を備える。
典型的なPUFとして、リングオッシレータの発振周波数、回路の遅延時間差、電源投入直後のメモリの初期値などの物理的特性の個体間の違いをID値として利用する手法が、特開2011−123909(以降、「特許文献1」という。)やG.Edward Suh,S.Devadas,″Physical Unclonable Functions for Device Authentication and Secret Key Generation,″DAC 2007,pp.9−14(以降、「非特許文献1」という。)、S.Eiroa,I.Baturone,″Hardware authentication basedon PUFs and SHA−3 2nd round candidates,″ICM 2010,pp.319−322(以降、「非特許文献2」という。)、M.Yu,S.Devadas,″Secure and Robust Error Correction for Physical Unclonable Functions,″IEEE Design and Test of Computers,Vol.27,No.1,pp.48−65.(以降、「非特許文献3」という。)に開示されている。
PUFへの入力はチャレンジ(Challenge)と呼ばれ、チャレンジに対するPUFが返す出力はレスポンス(Response)と呼ばれる。PUFの利用目的から、同じチャレンジに対して返るレスポンスには、同じ個体については常に同じ値となり、違う個体同士では必ず異なる値になることが求められる。
以降、「同じチャレンジに対して常に同じレスポンスが得られること」を「同一応答性」といい、同じチャレンジに対して、違う個体同士では必ず異なるレスポンスが得られること」を、「個体識別性」という。
ところが、現実のPUFにおいては、同じ個体に同じチャレンジを投入しても、チャレンジの投入ごとに異なる値が返るという現象が発生することがある。すなわち、現実のPUFは、必ずしも同一応答性を備えない。そこで、エラー訂正を行うことにより、同じチャレンジに対して同じレスポンスが得られるように対策する方法が非特許文献3に開示されている。
LSI製造時に不揮発メモリやヒューズにID値を設定する方法と異なり、LSIの製造ばらつきを利用するPUFにおいては、LSIの製造が完了しないとPUFが生成するID値が判明しない。しかも、PUFが特定のID値を生成できるように、製造を制御することもできない。
このため、個々のLSIに組み込まれたPUFが、過去に製造した全てのLSIとは異なるID値を生成するかどうかを、LSIの製造後にテストしなければならない。ところが、このテストは、過去に製造した、同じPUFが組み込まれた同じ種類のLSIの全てを対象にしなければならないため、テストには時間を要する。もし同じID値を生成するPUFが発見された場合は、そのPUFが組み込まれたLSIは出荷することができないため、廃棄しなければならない。そのため、PUFが組み込まれたLSIでは、歩留まりが悪化する。そして、長いテスト時間や歩留まりの悪化は、コストアップの原因となる。また、LSIが製造後のテストを通過したとしても、PUFが物理的特性や電気的特性を利用していることから、依然として課題は残る。すなわち、出荷後のLSIの利用時において、温度等の動作条件の変化により、あるPUFが他のLSIのPUFと同じID値を生成する可能性、すなわち、個体識別性が確保できない可能性がある。
以上のように、PUFの出力値の個体識別性を向上させるように、設計や製造手法を改善する技術が開示されている。しかし、それらの技術は、PUFの出力値が個体識別性を備える確率を向上させるだけであって、PUFの出力値が完全な個体識別性、すなわち、常に同じチャレンジに対して、他の個体のPUFとは異なるレスポンスを行うことを保証できるまでには至らない。重要情報を扱うクリティカルな用途に使う場合や、大量生産するデバイスに搭載する場合は、完全な個体識別性の保証が必要である。
このように、PUF等の識別情報生成装置には、完全な個体識別性の保証が求められる。さらに、識別情報生成装置の個体識別性は、製造出荷後の経年変化や環境変化のもとでも保証されなければならない。
(発明の目的)
本発明は上記のような技術的課題に鑑みて行われたもので、完全な個体識別性が保証された識別情報を生成することができる識別情報生成装置及び識別情報生成方法を提供することを目的とする。
このように、PUF等の識別情報生成装置には、完全な個体識別性の保証が求められる。さらに、識別情報生成装置の個体識別性は、製造出荷後の経年変化や環境変化のもとでも保証されなければならない。
(発明の目的)
本発明は上記のような技術的課題に鑑みて行われたもので、完全な個体識別性が保証された識別情報を生成することができる識別情報生成装置及び識別情報生成方法を提供することを目的とする。
本発明の識別情報生成装置は、物理的複製が不可能で、同じ応答要求に対して同一の応答出力を行う識別情報出力部から出力された、rビット(rは2以上の整数)の第1の識別情報から、kビット(kは1以上の整数)の暗号化鍵及び(r−m)ビット(mは1以上の整数)の第2の識別情報を分離する情報分離部と、第2の識別情報とx台の装置を識別可能なmビットの第3の識別情報を連接し、第4の識別情報を出力する情報連接部と、暗号化鍵を用いて第4の識別情報に所定の処理を施し、rビットの第5の識別情報を生成する暗号化部とを備えることを特徴とする。
本発明の識別情報生成方法は、物理的複製が不可能で、同じ応答要求に対して同一の応答出力を行う識別情報出力部から出力された、rビットの第1の識別情報から、kビットの暗号化鍵及び(r−m)ビットの第2の識別情報を分離し、第2の識別情報とx台の装置を識別可能なmビットの第3の識別情報を連接して第4の識別情報を出力し、暗号化鍵を用いて第4の識別情報に所定の処理を施し、rビットの第5の識別情報を生成することを特徴とする。
本発明の識別情報生成方法は、物理的複製が不可能で、同じ応答要求に対して同一の応答出力を行う識別情報出力部から出力された、rビットの第1の識別情報から、kビットの暗号化鍵及び(r−m)ビットの第2の識別情報を分離し、第2の識別情報とx台の装置を識別可能なmビットの第3の識別情報を連接して第4の識別情報を出力し、暗号化鍵を用いて第4の識別情報に所定の処理を施し、rビットの第5の識別情報を生成することを特徴とする。
本発明によれば、個体識別性を備える識別情報生成装置及び識別情報生成方法を得ることができる。
図1は、本発明の第1の実施の形態の識別情報生成装置の構成を示すブロック図である。
図2は、第1の実施の形態の識別情報生成装置の変形例の構成を示すブロック図である。
図3は、第1の実施の形態の識別情報生成装置の第2の変形例の構成を示すブロック図である。
図4は、本発明の第2の実施の形態の、改竄検出機能が付加された識別情報生成装置の構成を示すブロック図である。
図2は、第1の実施の形態の識別情報生成装置の変形例の構成を示すブロック図である。
図3は、第1の実施の形態の識別情報生成装置の第2の変形例の構成を示すブロック図である。
図4は、本発明の第2の実施の形態の、改竄検出機能が付加された識別情報生成装置の構成を示すブロック図である。
(第1の実施形態)
図1を参照して、本発明の第1の実施形態について説明する。本実施形態の識別情報生成装置100は、PUF部101、エラー訂正部102、情報分離部103、識別情報記憶部104、情報連接部105、暗号化部106を備える。
PUF部101は、外部からのチャレンジに対して、レスポンスとして、PUF部101の所定の物理的特性に基づくrビット(rは2以上の整数)のPUF出力値を出力する。PUF部101には、例えば特許文献1や非特許文献1乃至3に開示されているPUF回路を使用することができる。あるいは、それら以外のPUF回路を用いてもよい。
上述のように、PUF部101には同一応答性が求められる。そのため、PUF出力値には、エラー訂正部102によるエラー訂正が施される。エラー訂正部102によるエラー訂正は、例えば非特許文献3に開示されている技術を適用することができる。以降、エラー訂正部102によるエラー訂正が施された後の、すなわち、同一応答性が保証されたPUF出力値を、第1の識別情報という。
情報分離部103は、第1の識別情報を、kビット値(kは1以上の整数)の暗号化鍵と、(r−k)ビットの第2の識別情報の二つに分離する。なお、第2の識別情報を生成するために、r>kであることが必要である。
kビットの暗号化鍵の分離方法は、rビットの第1の識別情報中の任意のkビットを選択するものであればよく、上位ビットからkビット、下位ビットからkビットのように、特定の選択方法には限定されない。
識別情報記憶部104は、識別情報生成装置100のID値(識別情報)の記憶部であり、識別情報生成装置100に固有のkビットの第3の識別情報を出力する。識別情報記憶部104は、不揮発メモリもしくはヒューズなどで構成される。識別情報記憶部104は、識別情報生成装置100の個体識別性を確保するために備えられる。
なお、第3の識別情報のビット数は、識別情報生成装置100の最終の出力である、後述の第5の識別情報を適用して識別される対象の装置の台数をxとするとき、x台の装置の各々に固有の第3の識別情報を割り当てる必要があることから、
2^k≧x
であることが必要である。
情報連接部105は、(r−k)ビットの第2の識別情報とkビットの第3の識別情報を連接し、rビットの第4の識別情報を生成する。
ここでの「連接」とは、2つの情報を単純に組み合わせ、各々の情報のビット数の合計のビット数の値を生成することを意味する。2つの情報の組み合わせ方は、2つの情報をそれぞれ上位ビット、下位ビットとして結合するといった、最も単純な方法には限定されない。例えば、各情報のビットの上位、下位の順序を複雑に入れ替えた後、上位ビットと下位ビットとして結合してもよい。あるいは、2つの情報を単純に上位ビットと下位ビットとして結合した後、ビットの順序を入れ替えてもよい。
暗号化部106は、rビットの第4の識別情報を、kビットの暗号化鍵で暗号化し、rビットの第5の識別情報を識別情報生成装置100のレスポンスとして出力する。
次に、本実施形態の識別情報生成装置100としての最終の出力である第5の識別情報が、複製不能性、同一応答性、個体識別性、及び予測不能性が確保されたものとなる原理を説明する。
本実施形態の識別情報生成装置100は、PUF部101を備える。従って、識別情報生成装置100は、複製不能性を備えるための必要条件は満たされる。
さらにPUF部101の出力値にエラー訂正を施すエラー訂正部102を備える。識別情報記憶部104も固定の第3の識別情報を記憶する。以上により、識別情報生成装置100としての同一応答性を保証するための必要条件は満たされる。
また、識別情報記憶部104が、識別情報生成装置100に固有の第3の識別情報を記憶することによって、個体識別性を保証するための必要条件も満たされる。
ただし、第3の識別情報は、識別情報記憶部104を解析することによって、第三者にも取得可能である。そのため、第3の識別情報をそのまま使用するのではなく、何らかの処理により第3の識別情報を改変することによって、予測不能性を確保する。
予測不能性を確保するための処理には、同時に個体識別性を確保することも必要であるため、異なる値が同一値に対応付けられることがない性質、すなわち、「衝突可能性」がないことも求められる。そのため、予測不能性を確保するための処理方法として、暗号化が用いられる。具体的には、第3の識別情報を内部に含ませた第4の識別情報に暗号化を施す。
上記の暗号化に使用する暗号化鍵には、第1の識別情報の一部を用いる。暗号化鍵に第1の識別情報が用いられるため、鍵の秘匿性が確保される。
また、第1の識別情報の暗号化鍵以外の部分、すなわち、第2の識別情報は第3の識別情報と連接され、平文として使用される。第1の識別情報に含まれている第2の識別情報と第3の識別情報とが連接された情報(第4の識別情報)が平文として用いられるため、第5の識別情報の個体識別性が保証される。
ところで、上記の暗号化鍵は、PUF出力値から生成された第1の識別情報の一部を使用するため、必ずしも識別情報生成装置ごとに異なるとは限らない。
識別情報生成装置100の暗号化鍵が他の識別情報生成装置のものと同じである場合、第3の識別情報が他の識別情報生成装置のものと異なるため、第5の識別情報は必ず他の識別情報生成装置のものとは異なる。なぜなら、暗号化鍵が同じである場合、暗号の性質から、平文と暗号文が一対一写像となるからである。
次に、暗号化鍵が他の識別情報生成装置のものと異なる場合、ある一定の確率pで、他の識別情報生成装置の暗号文と同じ暗号文になる。例えば、AES−128を使用した場合、暗号化鍵、平文のビット数がそれぞれ128ビットであるから、入力空間の広さ、すなわち、暗号化鍵と平文の組み合わせによって表現可能な情報の個数は2^256である。暗号文のビット数は128ビットであるから、出力空間の広さ(暗号文によって表現可能な情報の個数)は2^128である。つまり、同じ平文を異なる暗号化鍵で暗号化したときに、同じ暗号文が生成される暗号化鍵と平文の組み合わせのパターンは2^128通りある。従って、確率pは、暗号化鍵の選定によるが、暗号化方式としてAES−128を使用した場合、確率p=2^128分の1(=3×10^(−39))で、暗号文が同じになる。しかし、この確率pは極めて小さいため、通常の用途では、実質的に0とみなすことができる。従って、本識別情報生成装置100の出力である第5の識別情報は、実質的に、完全な個体識別性を備えるということができる。
暗号化方式として、複数のブロックを対象としたブロック暗号化を用いる場合には、さらに、暗号文全体が完全に一致する確率を小さくすることができる。
まず、最初のブロックの暗号文が異なっていれば、当然、暗号文全体は他の識別情報生成装置のものと異なるものになるため、問題はない。
最初のブロックの暗号文が同じであれば、次のブロックの暗号文もまたある一定の確率pで他の識別情報生成装置のものと同じになる。しかし、2つのブロックの暗号文が両方とも同じである確率はp^2であり、通常の暗号化を用いたとしても、極めて小さい値になる。
一般に、情報をL個(lは1以上の整数)のブロックに分割してブロック暗号化を行った場合には、暗号文全体が完全に一致する確率Pは極めて小さくなる。具体的には、rビットの第4の識別情報を、r=bL(bは1以上の整数)を満たすbビットのブロックに分割し、ブロック暗号化を行う。この場合、確率Pは、例えば、暗号化方式としてAES−128を使用した場合は、P=p^n=(2^128)^n分の1となり、事実上0とみなすことができる。
図2は、本実施形態に必須の構成のみを備える、識別情報生成装置110の構成を示すブロック図である。識別情報生成装置110は、識別情報生成装置100の1つの変形例であり、PUF部101、エラー訂正部102、及び識別情報記憶部104を内部に備えずに、第1の識別情報、第3の識別情報を外部から入力する。このように、識別情報生成装置100の場合は内部で生成される第1の識別情報、第3の識別情報を、識別情報生成装置110は外部から入力する。そして、識別情報生成装置110は、第1の識別情報の分離、第2の識別情報と第3の識別情報との連接、第4の識別情報の暗号化を内部で処理する。
従って、識別情報生成装置110も、同一応答性、個体識別性、及び予測不能性を備える。ただし、識別情報生成装置110は、識別情報生成装置100とは異なり、複製不能性は備えない。
なお、図2の識別情報生成装置110では、第2の識別情報及び暗号化鍵のビット数が満たすべき条件も緩和されている。すなわち、rビットの第1の識別情報から、kビットの暗号化鍵及び(r−m)ビット(mは1以上の整数)の第2の識別情報を、ビット単位で分離する。
ここで、r>k+(r−m)でもよい。つまり、第1の識別情報の中に、第2の識別情報、暗号化鍵のいずれとしても分離されないビットが含まれてもよい。
第1の識別情報の中の同じビットが第2の識別情報、暗号化鍵の両方に含まれると、平分と暗号化鍵からなる入力空間が狭くなる。そのため、第1の識別情報の中の同じビットが、第2の識別情報、暗号化鍵の両方に含まれることがないことが望ましい。
また、第3の識別情報のビット数mは、識別情報生成装置100の最終の出力である、後述の第5の識別情報を適用して識別される対象の装置の台数をxとするとき、x台の装置の各々に固有の第3の識別情報を割り当てる必要があることから、
2^m≧x
であることが必要である。
mビットの第3の識別情報は、(r−m)ビットの第2の識別情報と連接され、rビットの第4の識別情報となる。
以上のように、本実施形態の識別情報生成装置100は、予測不能性を備えるPUF出力値に誤り訂正を施すことにより同一応答性を確保する。そして、PUF出力値の一部を暗号化鍵として、装置に固有の、すなわち、個体識別性を備える識別情報を暗号化する。従って、識別情報生成装置100は、予測不能性、同一応答性及び個体識別性を備える。また、識別情報生成装置100は、PUF部を備えることにより、複製不能性も備える。
以下に、本実施形態の特徴点を整理して示す。本実施形態の重要な特徴の一つとして、個体の物理的特性を利用してPUF出力値を生成する一般的なPUFと、個体に固有の第3の識別情報を併用する点が挙げられる。第3の識別情報は、最終的に生成される第5の識別情報が個体ごとに異なることを製造出荷時に保証することを目的として使用される。PUF出力値は、出力の複製不可能性を保証することを目的として使用される。
本実施形態の他の重要な特徴として、暗号化を用いる点と、暗号化鍵として第1の識別情報を使用する点が挙げられる。ハッシュ関数でなく暗号化を使用することにより、平文と暗号文のビット数は同じでしかもそれらは任意の値を取ることができる。そのため、暗号化部に投入する第4の識別情報のビット幅を広げれば、異なる識別情報生成装置が生成した識別情報が同じになること、すなわち、衝突を防止することができる。また、第1の識別情報を暗号化鍵として使うことにより、万一第3の識別情報が第三者に読み取られた場合でも、出力の複製不可能性は損なわれない。
なお、暗号化部105で行われる処理は、暗号化における平文に該当する第4の識別情報を、暗号化鍵を用いて暗号化する処理である。同様の処理は、「乱数化」、「かく乱」等と呼ばれることがあり、必ずしも「暗号化」という名称で呼ばれるものである必要はない。
また、図3は、図1の識別情報生成装置100よりもさらに安全性を高めた識別情報生成装置120のブロック図である。識別情報生成装置120は、識別情報記憶部104に加え、固定情報記憶部107を備える点で、識別情報生成装置100と異なる。固定情報記憶部107は、個々の識別情報生成装置には依らない固定の第1の固定情報を記憶する。第1の固定情報は、耐タンパ性を確保するために、例えば論理回路中に埋め込まれる。そして、第1の固定情報は、情報連接部105によって、第2の識別情報、第3の識別情報と連接され、暗号化部106で暗号化される。
(第2の実施の形態)
本発明の識別情報生成装置は、識別情報の改竄検出機能を備えることができる。図4は、第2の実施の形態の識別情報生成装置の構成を示すブロック図である。本実施の形態の識別情報生成装置200は、図2に示した第2の実施の形態の識別情報生成装置120に対する改竄の有無を検出する機能が付加されたものである。
識別情報生成装置200は、図2の識別情報生成装置120の構成に加え、第2の固定情報記憶部201、選択部202、検査値記憶部203、比較部204を備える。
第2の固定情報記憶部201は、後述のように、改竄検出時にチャレンジとして与えられる第2の固定情報を記憶する。
選択部202は、外部からのチャレンジ、又は第2の固定情報記憶部201からの固定のチャレンジの一方を、モード設定信号(図示なし)に従って選択する。外部からのチャレンジは、識別情報生成装置として識別情報を生成する、通常動作モード時のチャレンジである。第2の固定情報記憶部201からのチャレンジは、改竄検出モード用のチャレンジである。
検査値記憶部203は、改竄検出モード時に使用される検査値を記憶する。
比較部204は、検査値記憶部203からの検査値と、暗号化部106からの第5の識別情報を比較する。
以下に、識別情報の改竄検出機能の動作について説明する。まず、識別情報生成装置200が運用される前、すなわち、識別情報生成装置200の出荷前の検査時等に、検査値記憶部203に検査値が設定される。そのために、モード設定信号で改竄検出モードを指定し、選択部202に、第2の固定情報記憶部201からの改竄検出モードる。
出荷後の識別情報生成装置200運用時にも、実際の運用を開始する前に、モード設定信号で一旦、改竄検出モードが指定される。このとき、選択部202は、第2の固定情報記憶部201からの改竄検出モード用の固定のチャレンジを選択する。そして、このときのレスポンスと検査値記憶部203に記録されている検査値とが、比較部204で比較される。
識別情報記憶部104の記憶値である第3の識別情報、又は検査値記憶部203に記録されている検査値のいずれか一方でも改竄された場合、比較値202への2つの入力は一致しないので、改竄があったことを検出することができる。
改竄検出モードで改竄の有無を検査した後は、モード設定信号で通常動作モードが指定され、選択部202は外部からのチャレンジを選択する。そして、その後は、識別情報生成装置200は通常の識別情報生成動作を行う。
上述のように、本実施の形態の識別情報生成装置200には、識別情報生成装置110が備える効果に加え、改竄が行われたことを検出できるという効果がある。
以上、実施の形態を参照して本願発明を説明したが、本願発明は上記に応じて限定されるものではない。本願発明の構成や詳細には、当業者が理解し得る様々な変更をすることができる。また、以上の実施形態は各々他の実施形態と組み合わせることができる。例えば、図4の第3の実施の形態において、第1の固定情報記憶部107を省いたり、あるいは、第2の固定情報記憶部201、選択部202、PUF部101、エラー訂正部102を外部に備える等の変更も可能である。
以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
この出願は、2011年12月13日に出願された日本出願特願2011−272447を基礎とする優先権を主張し、その開示の全てをここに取り込む。
図1を参照して、本発明の第1の実施形態について説明する。本実施形態の識別情報生成装置100は、PUF部101、エラー訂正部102、情報分離部103、識別情報記憶部104、情報連接部105、暗号化部106を備える。
PUF部101は、外部からのチャレンジに対して、レスポンスとして、PUF部101の所定の物理的特性に基づくrビット(rは2以上の整数)のPUF出力値を出力する。PUF部101には、例えば特許文献1や非特許文献1乃至3に開示されているPUF回路を使用することができる。あるいは、それら以外のPUF回路を用いてもよい。
上述のように、PUF部101には同一応答性が求められる。そのため、PUF出力値には、エラー訂正部102によるエラー訂正が施される。エラー訂正部102によるエラー訂正は、例えば非特許文献3に開示されている技術を適用することができる。以降、エラー訂正部102によるエラー訂正が施された後の、すなわち、同一応答性が保証されたPUF出力値を、第1の識別情報という。
情報分離部103は、第1の識別情報を、kビット値(kは1以上の整数)の暗号化鍵と、(r−k)ビットの第2の識別情報の二つに分離する。なお、第2の識別情報を生成するために、r>kであることが必要である。
kビットの暗号化鍵の分離方法は、rビットの第1の識別情報中の任意のkビットを選択するものであればよく、上位ビットからkビット、下位ビットからkビットのように、特定の選択方法には限定されない。
識別情報記憶部104は、識別情報生成装置100のID値(識別情報)の記憶部であり、識別情報生成装置100に固有のkビットの第3の識別情報を出力する。識別情報記憶部104は、不揮発メモリもしくはヒューズなどで構成される。識別情報記憶部104は、識別情報生成装置100の個体識別性を確保するために備えられる。
なお、第3の識別情報のビット数は、識別情報生成装置100の最終の出力である、後述の第5の識別情報を適用して識別される対象の装置の台数をxとするとき、x台の装置の各々に固有の第3の識別情報を割り当てる必要があることから、
2^k≧x
であることが必要である。
情報連接部105は、(r−k)ビットの第2の識別情報とkビットの第3の識別情報を連接し、rビットの第4の識別情報を生成する。
ここでの「連接」とは、2つの情報を単純に組み合わせ、各々の情報のビット数の合計のビット数の値を生成することを意味する。2つの情報の組み合わせ方は、2つの情報をそれぞれ上位ビット、下位ビットとして結合するといった、最も単純な方法には限定されない。例えば、各情報のビットの上位、下位の順序を複雑に入れ替えた後、上位ビットと下位ビットとして結合してもよい。あるいは、2つの情報を単純に上位ビットと下位ビットとして結合した後、ビットの順序を入れ替えてもよい。
暗号化部106は、rビットの第4の識別情報を、kビットの暗号化鍵で暗号化し、rビットの第5の識別情報を識別情報生成装置100のレスポンスとして出力する。
次に、本実施形態の識別情報生成装置100としての最終の出力である第5の識別情報が、複製不能性、同一応答性、個体識別性、及び予測不能性が確保されたものとなる原理を説明する。
本実施形態の識別情報生成装置100は、PUF部101を備える。従って、識別情報生成装置100は、複製不能性を備えるための必要条件は満たされる。
さらにPUF部101の出力値にエラー訂正を施すエラー訂正部102を備える。識別情報記憶部104も固定の第3の識別情報を記憶する。以上により、識別情報生成装置100としての同一応答性を保証するための必要条件は満たされる。
また、識別情報記憶部104が、識別情報生成装置100に固有の第3の識別情報を記憶することによって、個体識別性を保証するための必要条件も満たされる。
ただし、第3の識別情報は、識別情報記憶部104を解析することによって、第三者にも取得可能である。そのため、第3の識別情報をそのまま使用するのではなく、何らかの処理により第3の識別情報を改変することによって、予測不能性を確保する。
予測不能性を確保するための処理には、同時に個体識別性を確保することも必要であるため、異なる値が同一値に対応付けられることがない性質、すなわち、「衝突可能性」がないことも求められる。そのため、予測不能性を確保するための処理方法として、暗号化が用いられる。具体的には、第3の識別情報を内部に含ませた第4の識別情報に暗号化を施す。
上記の暗号化に使用する暗号化鍵には、第1の識別情報の一部を用いる。暗号化鍵に第1の識別情報が用いられるため、鍵の秘匿性が確保される。
また、第1の識別情報の暗号化鍵以外の部分、すなわち、第2の識別情報は第3の識別情報と連接され、平文として使用される。第1の識別情報に含まれている第2の識別情報と第3の識別情報とが連接された情報(第4の識別情報)が平文として用いられるため、第5の識別情報の個体識別性が保証される。
ところで、上記の暗号化鍵は、PUF出力値から生成された第1の識別情報の一部を使用するため、必ずしも識別情報生成装置ごとに異なるとは限らない。
識別情報生成装置100の暗号化鍵が他の識別情報生成装置のものと同じである場合、第3の識別情報が他の識別情報生成装置のものと異なるため、第5の識別情報は必ず他の識別情報生成装置のものとは異なる。なぜなら、暗号化鍵が同じである場合、暗号の性質から、平文と暗号文が一対一写像となるからである。
次に、暗号化鍵が他の識別情報生成装置のものと異なる場合、ある一定の確率pで、他の識別情報生成装置の暗号文と同じ暗号文になる。例えば、AES−128を使用した場合、暗号化鍵、平文のビット数がそれぞれ128ビットであるから、入力空間の広さ、すなわち、暗号化鍵と平文の組み合わせによって表現可能な情報の個数は2^256である。暗号文のビット数は128ビットであるから、出力空間の広さ(暗号文によって表現可能な情報の個数)は2^128である。つまり、同じ平文を異なる暗号化鍵で暗号化したときに、同じ暗号文が生成される暗号化鍵と平文の組み合わせのパターンは2^128通りある。従って、確率pは、暗号化鍵の選定によるが、暗号化方式としてAES−128を使用した場合、確率p=2^128分の1(=3×10^(−39))で、暗号文が同じになる。しかし、この確率pは極めて小さいため、通常の用途では、実質的に0とみなすことができる。従って、本識別情報生成装置100の出力である第5の識別情報は、実質的に、完全な個体識別性を備えるということができる。
暗号化方式として、複数のブロックを対象としたブロック暗号化を用いる場合には、さらに、暗号文全体が完全に一致する確率を小さくすることができる。
まず、最初のブロックの暗号文が異なっていれば、当然、暗号文全体は他の識別情報生成装置のものと異なるものになるため、問題はない。
最初のブロックの暗号文が同じであれば、次のブロックの暗号文もまたある一定の確率pで他の識別情報生成装置のものと同じになる。しかし、2つのブロックの暗号文が両方とも同じである確率はp^2であり、通常の暗号化を用いたとしても、極めて小さい値になる。
一般に、情報をL個(lは1以上の整数)のブロックに分割してブロック暗号化を行った場合には、暗号文全体が完全に一致する確率Pは極めて小さくなる。具体的には、rビットの第4の識別情報を、r=bL(bは1以上の整数)を満たすbビットのブロックに分割し、ブロック暗号化を行う。この場合、確率Pは、例えば、暗号化方式としてAES−128を使用した場合は、P=p^n=(2^128)^n分の1となり、事実上0とみなすことができる。
図2は、本実施形態に必須の構成のみを備える、識別情報生成装置110の構成を示すブロック図である。識別情報生成装置110は、識別情報生成装置100の1つの変形例であり、PUF部101、エラー訂正部102、及び識別情報記憶部104を内部に備えずに、第1の識別情報、第3の識別情報を外部から入力する。このように、識別情報生成装置100の場合は内部で生成される第1の識別情報、第3の識別情報を、識別情報生成装置110は外部から入力する。そして、識別情報生成装置110は、第1の識別情報の分離、第2の識別情報と第3の識別情報との連接、第4の識別情報の暗号化を内部で処理する。
従って、識別情報生成装置110も、同一応答性、個体識別性、及び予測不能性を備える。ただし、識別情報生成装置110は、識別情報生成装置100とは異なり、複製不能性は備えない。
なお、図2の識別情報生成装置110では、第2の識別情報及び暗号化鍵のビット数が満たすべき条件も緩和されている。すなわち、rビットの第1の識別情報から、kビットの暗号化鍵及び(r−m)ビット(mは1以上の整数)の第2の識別情報を、ビット単位で分離する。
ここで、r>k+(r−m)でもよい。つまり、第1の識別情報の中に、第2の識別情報、暗号化鍵のいずれとしても分離されないビットが含まれてもよい。
第1の識別情報の中の同じビットが第2の識別情報、暗号化鍵の両方に含まれると、平分と暗号化鍵からなる入力空間が狭くなる。そのため、第1の識別情報の中の同じビットが、第2の識別情報、暗号化鍵の両方に含まれることがないことが望ましい。
また、第3の識別情報のビット数mは、識別情報生成装置100の最終の出力である、後述の第5の識別情報を適用して識別される対象の装置の台数をxとするとき、x台の装置の各々に固有の第3の識別情報を割り当てる必要があることから、
2^m≧x
であることが必要である。
mビットの第3の識別情報は、(r−m)ビットの第2の識別情報と連接され、rビットの第4の識別情報となる。
以上のように、本実施形態の識別情報生成装置100は、予測不能性を備えるPUF出力値に誤り訂正を施すことにより同一応答性を確保する。そして、PUF出力値の一部を暗号化鍵として、装置に固有の、すなわち、個体識別性を備える識別情報を暗号化する。従って、識別情報生成装置100は、予測不能性、同一応答性及び個体識別性を備える。また、識別情報生成装置100は、PUF部を備えることにより、複製不能性も備える。
以下に、本実施形態の特徴点を整理して示す。本実施形態の重要な特徴の一つとして、個体の物理的特性を利用してPUF出力値を生成する一般的なPUFと、個体に固有の第3の識別情報を併用する点が挙げられる。第3の識別情報は、最終的に生成される第5の識別情報が個体ごとに異なることを製造出荷時に保証することを目的として使用される。PUF出力値は、出力の複製不可能性を保証することを目的として使用される。
本実施形態の他の重要な特徴として、暗号化を用いる点と、暗号化鍵として第1の識別情報を使用する点が挙げられる。ハッシュ関数でなく暗号化を使用することにより、平文と暗号文のビット数は同じでしかもそれらは任意の値を取ることができる。そのため、暗号化部に投入する第4の識別情報のビット幅を広げれば、異なる識別情報生成装置が生成した識別情報が同じになること、すなわち、衝突を防止することができる。また、第1の識別情報を暗号化鍵として使うことにより、万一第3の識別情報が第三者に読み取られた場合でも、出力の複製不可能性は損なわれない。
なお、暗号化部105で行われる処理は、暗号化における平文に該当する第4の識別情報を、暗号化鍵を用いて暗号化する処理である。同様の処理は、「乱数化」、「かく乱」等と呼ばれることがあり、必ずしも「暗号化」という名称で呼ばれるものである必要はない。
また、図3は、図1の識別情報生成装置100よりもさらに安全性を高めた識別情報生成装置120のブロック図である。識別情報生成装置120は、識別情報記憶部104に加え、固定情報記憶部107を備える点で、識別情報生成装置100と異なる。固定情報記憶部107は、個々の識別情報生成装置には依らない固定の第1の固定情報を記憶する。第1の固定情報は、耐タンパ性を確保するために、例えば論理回路中に埋め込まれる。そして、第1の固定情報は、情報連接部105によって、第2の識別情報、第3の識別情報と連接され、暗号化部106で暗号化される。
(第2の実施の形態)
本発明の識別情報生成装置は、識別情報の改竄検出機能を備えることができる。図4は、第2の実施の形態の識別情報生成装置の構成を示すブロック図である。本実施の形態の識別情報生成装置200は、図2に示した第2の実施の形態の識別情報生成装置120に対する改竄の有無を検出する機能が付加されたものである。
識別情報生成装置200は、図2の識別情報生成装置120の構成に加え、第2の固定情報記憶部201、選択部202、検査値記憶部203、比較部204を備える。
第2の固定情報記憶部201は、後述のように、改竄検出時にチャレンジとして与えられる第2の固定情報を記憶する。
選択部202は、外部からのチャレンジ、又は第2の固定情報記憶部201からの固定のチャレンジの一方を、モード設定信号(図示なし)に従って選択する。外部からのチャレンジは、識別情報生成装置として識別情報を生成する、通常動作モード時のチャレンジである。第2の固定情報記憶部201からのチャレンジは、改竄検出モード用のチャレンジである。
検査値記憶部203は、改竄検出モード時に使用される検査値を記憶する。
比較部204は、検査値記憶部203からの検査値と、暗号化部106からの第5の識別情報を比較する。
以下に、識別情報の改竄検出機能の動作について説明する。まず、識別情報生成装置200が運用される前、すなわち、識別情報生成装置200の出荷前の検査時等に、検査値記憶部203に検査値が設定される。そのために、モード設定信号で改竄検出モードを指定し、選択部202に、第2の固定情報記憶部201からの改竄検出モードる。
出荷後の識別情報生成装置200運用時にも、実際の運用を開始する前に、モード設定信号で一旦、改竄検出モードが指定される。このとき、選択部202は、第2の固定情報記憶部201からの改竄検出モード用の固定のチャレンジを選択する。そして、このときのレスポンスと検査値記憶部203に記録されている検査値とが、比較部204で比較される。
識別情報記憶部104の記憶値である第3の識別情報、又は検査値記憶部203に記録されている検査値のいずれか一方でも改竄された場合、比較値202への2つの入力は一致しないので、改竄があったことを検出することができる。
改竄検出モードで改竄の有無を検査した後は、モード設定信号で通常動作モードが指定され、選択部202は外部からのチャレンジを選択する。そして、その後は、識別情報生成装置200は通常の識別情報生成動作を行う。
上述のように、本実施の形態の識別情報生成装置200には、識別情報生成装置110が備える効果に加え、改竄が行われたことを検出できるという効果がある。
以上、実施の形態を参照して本願発明を説明したが、本願発明は上記に応じて限定されるものではない。本願発明の構成や詳細には、当業者が理解し得る様々な変更をすることができる。また、以上の実施形態は各々他の実施形態と組み合わせることができる。例えば、図4の第3の実施の形態において、第1の固定情報記憶部107を省いたり、あるいは、第2の固定情報記憶部201、選択部202、PUF部101、エラー訂正部102を外部に備える等の変更も可能である。
以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
この出願は、2011年12月13日に出願された日本出願特願2011−272447を基礎とする優先権を主張し、その開示の全てをここに取り込む。
100、110、120、200 識別情報生成装置
101 PUF部
100、110、120、200 識別情報生成装置
101 PUF部
102 エラー訂正部
103 情報分離部
104 識別情報記憶部
105 情報連接部
106 暗号化部
107 第1の固定情報記憶部
201 第2の固定情報記憶部
202 選択部
203 検査値記憶部
204 比較部
101 PUF部
100、110、120、200 識別情報生成装置
101 PUF部
102 エラー訂正部
103 情報分離部
104 識別情報記憶部
105 情報連接部
106 暗号化部
107 第1の固定情報記憶部
201 第2の固定情報記憶部
202 選択部
203 検査値記憶部
204 比較部
Claims (8)
- 物理的複製が不可能で、同じ応答要求に対して同一の応答出力を行う識別情報出力部から出力された、rビット(rは2以上の整数)の第1の識別情報から、kビット(kは1以上の整数)の暗号化鍵及び(r−m)ビット(mは1以上の整数)の第2の識別情報を分離する情報分離部と、
前記第2の識別情報とx台の装置を識別可能なmビットの第3の識別情報を連接し、第4の識別情報を出力する情報連接部と、
前記暗号化鍵を用いて前記第4の識別情報に所定の処理を施し、rビットの第5の識別情報を生成する暗号化部と
を備えることを特徴とする識別情報生成装置。 - 2^m≧x、かつ、
m=k、かつ、
r≧2m
であることを特徴とする請求項1に記載の識別情報生成装置。 - 前記第3の識別情報を記憶する識別情報記憶部を備える
ことを特徴とする請求項1又は2に記載の識別情報生成装置。 - 物理的複製が不可能で前記応答要求に対して所定の物理的特性情報を出力する特性情報生成部と、前記物理的特性情報に所定の演算を施し、前記第1の識別情報を出力する特性情報処理部を含む前記識別情報出力部を備える
ことを特徴とする請求項1乃至3のいずれかに記載の識別情報生成装置。 - 第2の固定情報を記憶する第2の固定情報記憶部と、
前記応答要求として、外部からの外部チャレンジ入力又は前記第2の固定情報を選択する選択部と、
前記第2の固定情報を前記応答要求としたときの前記第5の識別情報を検査値として記憶する検査値記憶部と、
前記外部チャレンジ入力を前記応答要求としたときの前記第5の識別情報と、前記検査値とを比較する比較部
を備えることを特徴とする請求項4記載の識別情報生成装置。 - 前記情報連接部は、前記第2の識別情報、mビットの前記第3の識別情報に代えてnビット(nは1以上の整数)の前記第3の識別情報、及び(k−n)ビットの第1の固定情報を連接し、前記第4の識別情報を出力する
ことを特徴とする請求項1乃至5のいずれかに記載の識別情報生成装置。 - 前記第1の固定情報を記憶する第1の固定情報記憶部を備える
ことを特徴とする請求項6に記載の識別情報生成装置。 - 物理的複製が不可能で、同じ応答要求に対して同一の応答出力を行う識別情報出力部から出力された、rビットの第1の識別情報から、kビットの暗号化鍵及び(r−m)ビットの第2の識別情報を分離し、
前記第2の識別情報とx台の装置を識別可能なmビットの第3の識別情報を連接して第4の識別情報を出力し、
前記暗号化鍵を用いて前記第4の識別情報に所定の処理を施し、rビットの第5の識別情報を生成する
ことを特徴とする識別情報生成方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2013549193A JPWO2013088939A1 (ja) | 2011-12-13 | 2012-11-16 | 識別情報生成装置及び識別情報生成方法 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2011272447 | 2011-12-13 | ||
| JP2011272447 | 2011-12-13 | ||
| JP2013549193A JPWO2013088939A1 (ja) | 2011-12-13 | 2012-11-16 | 識別情報生成装置及び識別情報生成方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPWO2013088939A1 true JPWO2013088939A1 (ja) | 2015-04-27 |
Family
ID=48612394
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2013549193A Pending JPWO2013088939A1 (ja) | 2011-12-13 | 2012-11-16 | 識別情報生成装置及び識別情報生成方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US9590804B2 (ja) |
| JP (1) | JPWO2013088939A1 (ja) |
| WO (1) | WO2013088939A1 (ja) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6354172B2 (ja) * | 2014-01-20 | 2018-07-11 | 富士通株式会社 | 半導体集積回路及び認証システム |
| US10432409B2 (en) * | 2014-05-05 | 2019-10-01 | Analog Devices, Inc. | Authentication system and device including physical unclonable function and threshold cryptography |
| US9501664B1 (en) * | 2014-12-15 | 2016-11-22 | Sandia Corporation | Method, apparatus and system to compensate for drift by physically unclonable function circuitry |
| EP3373186B1 (en) * | 2015-11-03 | 2020-12-30 | ICTK Holdings Co., Ltd. | Apparatus and method for generating identification key |
| JP6591294B2 (ja) * | 2016-01-13 | 2019-10-16 | Kddi株式会社 | 識別情報生成装置、識別情報生成方法及び識別情報生成プログラム |
| JP6495853B2 (ja) * | 2016-03-16 | 2019-04-03 | 株式会社東芝 | データ生成装置、電子デバイスおよび認証システム |
| GB2543125B (en) * | 2016-07-27 | 2017-10-18 | Quantum Base Ltd | Generating a unique response to a challenge |
| US10185820B2 (en) * | 2016-11-09 | 2019-01-22 | Arizona Board Of Regents On Behalf Of Northern Arizona University | PUF hardware arrangement for increased throughput |
| JP2018098757A (ja) * | 2016-12-13 | 2018-06-21 | ルネサスエレクトロニクス株式会社 | 通信装置及び暗号処理システム |
| US11012230B2 (en) * | 2016-12-13 | 2021-05-18 | Renesas Electronics Corporation | Communication apparatus and cryptographic processing system |
| US10958452B2 (en) | 2017-06-06 | 2021-03-23 | Analog Devices, Inc. | System and device including reconfigurable physical unclonable functions and threshold cryptography |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5631961A (en) * | 1995-09-15 | 1997-05-20 | The United States Of America As Represented By The Director Of The National Security Agency | Device for and method of cryptography that allows third party access |
| US7194765B2 (en) * | 2002-06-12 | 2007-03-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Challenge-response user authentication |
| US7840803B2 (en) | 2002-04-16 | 2010-11-23 | Massachusetts Institute Of Technology | Authentication of integrated circuits |
| JP2005304429A (ja) | 2004-04-23 | 2005-11-04 | Fumio Hieda | 加工食品 |
| EP2230794A3 (en) | 2009-03-16 | 2011-10-05 | Technische Universität München | Towards Electrical, Integrated Implementations of SIMPL Systems |
| WO2011089143A1 (en) * | 2010-01-20 | 2011-07-28 | Intrinsic Id B.V. | Device and method for obtaining a cryptographic key |
-
2012
- 2012-11-16 US US14/364,096 patent/US9590804B2/en active Active
- 2012-11-16 WO PCT/JP2012/080405 patent/WO2013088939A1/ja active Application Filing
- 2012-11-16 JP JP2013549193A patent/JPWO2013088939A1/ja active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| WO2013088939A1 (ja) | 2013-06-20 |
| US9590804B2 (en) | 2017-03-07 |
| US20140328481A1 (en) | 2014-11-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2013088939A1 (ja) | 識別情報生成装置及び識別情報生成方法 | |
| US20200364374A1 (en) | Apparatus and method for generating identification key | |
| US11729005B2 (en) | Apparatus and method for processing authentication information | |
| US8782396B2 (en) | Authentication with physical unclonable functions | |
| KR102499723B1 (ko) | 물리적 복제방지 기능 비트스트링 생성에 대한 신뢰성 향상 방법 | |
| EP2359520B1 (en) | Distributed puf | |
| TWI640863B (zh) | 測試隨機性的儀器以及方法 | |
| US20130147511A1 (en) | Offline Device Authentication and Anti-Counterfeiting Using Physically Unclonable Functions | |
| US11232718B2 (en) | Methods and devices for protecting data | |
| JP2014506095A (ja) | 物理的な攻撃を防御する暗号化装置及び暗号化方法 | |
| Zalivaka et al. | Design and implementation of high-quality physical unclonable functions for hardware-oriented cryptography | |
| US20160110165A1 (en) | Quality detecting method, random number generator, and electronic device | |
| Koeberl et al. | A practical device authentication scheme using SRAM PUFs | |
| Tariguliyev et al. | Reliability and security of arbiter‐based physical unclonable function circuits | |
| Tehranipoor et al. | Chip ID | |
| Maes et al. | Process variations for security: Pufs |