情報通信研究機構(NICT)は1月15日、東芝および電気通信大学(電通大)と共同で暗号・認証に用いる秘密情報を物理的攻撃から保護する専用記憶回路を持たない機器において秘密情報を秘匿管理する技術について、統計学的評価に必要な大規模の実証システムを構築し、その安全性を実証したことを発表した。

同成果の詳細は、1月22日~25日に京都で開催される「2013年暗号と情報セキュリティシンポジウム(SCIS2013)」で発表される予定だ。

情報システムには、情報セキュリティの観点からさまざまな暗号技術が用いられているが、一般的にICチップを用いた暗号・認証を行うためには、それらの機能を実現する暗号演算回路と共に、認証に必要な秘密情報を漏えいから守る回路を実装する必要があり、その秘密情報の保護回路は、さまざまな物理的攻撃からの防御を想定する必要があるため、ICカードなどの製造コストの上昇要因となっている。一方で、スマートメーターやセンサなどで用いられる機器間通信(M2M:Machine-to-Machine)では、コストや性能がPCに比べて低く、そこに従来と同様の安全な暗号・認証技術を実装することはコストだけでなく物理的な実装面積の面でも困難であり、より低コストで暗号・認証機能を実証する技術と、その安全性の実証が求められていた。

近年、そうした暗号の鍵管理部をチップの物理的な個体差を用いて代替する「物理的複製困難関数(PUF)」という技術が登場してきた。同技術は、個々人で異なる人間の指紋を利用するバイオメトリクス認証と同様に、個々のICチップの物理的特性を指紋のように利用して暗号・認証機能を実現しようというもので、PUFとして使用するICチップの物理的特徴を取り出して複製することが困難であるため、これまで必要だった鍵管理部は不要となり、コスト面でのメリットを出せると期待されている。しかし、ICチップの個体差が持つ安全性は、バイオメトリクス認証と同様に、統計学的に証明する必要があるが、これまでの研究は理論的な構成方法が中心であり、複数のPUFやその応用を実際のICチップで実現した際の安全性を統計学的に有意な量のサンプルを用いて評価した例はなかった。

そこで研究グループは今回、NICTが所有する100台の実験機器に、電通大と東芝が共同開発した鍵管理方式(PMKG-RT)を実装し、安全に暗号鍵の生成・管理が行える制御パラメータを実験的に算出した。具体的には、PMKG-RTのコア技術であるPUF回路として、電力投入時のメモリ上のデータのバラつきを利用するSRAM-PUFおよびFPGA上に2線式回路を実装したArbiter-PUFを利用したという。 PMKG-RTは、秘密情報を不揮発性メモリに記憶しない代わりに、PUFを用いて暗号・認証時に必要となる鍵を一時的に生成する。実験では、SRAM-PUFとArbiter-PUFのそれぞれについて、PUFを実装した異なる100台の機器に同一のデータを入力したときに、固有の機器でも試行ごとにPUFから出力される情報は誤差が生じて異なること、および出力に機器ごとの差異があることが確認された。

初期設定において、鍵をランダムに選択し、PUFの出力を鍵の値だけ巡回シフトした値を、耐タンパ性を必要としない不揮発性メモリに記憶し、暗号・認証時に鍵が必要となる場面において、PUFの出力を1ビットずつ巡回シフトし、不揮発性メモリに記憶された値とのパターン照合に合格するシフト量を探索することで鍵を再現する。また、1回の巡回シフトとパターン照合により管理できる鍵はビット長が短いため、PMKG-RTは、巡回シフトとパターン照合を繰り返すことで、安全な暗号・認証を実現するための暗号鍵を管理する。今回の実験では、PUFの出力を256ビットと定め、出力誤差の許容範囲を10ビット刻みで設定して実験を繰り返した結果、Arbiter-PUFを用いる場合は30から40ビット、SRAM-PUFを用いる場合では50から70ビットの出力誤差を許容し、PMKG-RTが機器固有の暗号鍵を正しく生成・管理できることが確認され、暗号応用への実用性が示されたこととなった。

なお、研究グループでは今回の成果を受けて、今後、温度や湿度など幅広い物理的条件を変化させた場合の安全性を評価するための実証実験を行い、機器の動作範囲を広げる研究開発を重ねることで、各機器を低コストで製造する必要があるM2M通信やサイバーフィジカルシステムなどにおける、安全な暗号・認証の実現を目指すとしている。

今回の実験における評価環境(ICチップ100個による並列処理)