米国標準技術研究所(NIST)によって公開されたセキュア・ハッシュアルゴリズムは、暗号に基づくセキュリティレベルを強化するために進化を続けています。最新版の「SHA-3」は、NISTで規定された以前のハッシュアルゴリズムに比べて新しい内部演算構造を備え、既知の脆弱性にも対処しています。

組み込みシステムがよりスマート化し、さらなる接続性が必要になるにつれて、組み込みシステムを攻撃から保護することは、これまで以上に重要となります。SHA-3はとても役立ちますが、暗号の知識を持たなければ、暗号ハッシュ関数の実装は容易ではありません。このレポートでは、SHA-3の利点について説明し、暗号の専門知識を持たない場合でも、SHA-3アルゴリズムと物理的複製防止機能(PUF:Physically Unclonable Function)技術を用いて設計されたセキュア認証用ICによって、いかに強力な組み込みセキュリティを実現することができるのか詳しく説明します。

はじめに:組み込みシステムの保護

2018年、ハッカーがカジノのロビーに設置された水槽の無防備にネットワーク接続された水温計を利用して、どのようにネットワークに侵入し、データを盗み取ったかを説明するレポートが公表されました1)。この事例は、適切な保護のない組み込みシステムがどれほど脆弱なものとなり得るかを改めて浮き彫りにしています。

ハッカーたちは組み込みシステムにセキュリティを実装するICに対して、攻撃の手法を絶え間なく高度化させています。マイクロプロービング、集束イオンビーム(FIB)、リバースエンジニアリングなどは、ハッカーのさまざまな攻撃手段の中で侵襲攻撃手法のほんの一例にすぎません。そのため、汎用マイクロコントローラのソフトウェアに実装されたセキュリティが破られ、迂回される危険性が高くなります。たとえば、暗号はソフトウェアに実装することが比較的簡単に安価で実現できるかもしれませんが、ハッカーなら僅かな費用でファームウェアを抽出して暗号鍵を取得するでしょう。

ハードウェアベースの組み込みセキュリティICはより強力なレベルの保護を提供しますが、これらの製品でさえ、サイバー犯罪者の先を行くためには進化し続ける必要があります。そうした進化の一例は、最新世代の暗号アルゴリズムであるSHA-3暗号ハッシュ関数とPUF技術による保護の組み合わせです。PUFとSHA-3暗号ハッシュ関数の組み合わせは、偽造を防止し、最終製品のライフサイクルを安全に管理し、センサーやツールの完全な動作パラメータを保存および保証し、サブシステムの機能を有効化/無効化し、組み込みシステムを侵襲攻撃から保護するための強力な手段となります。次の項では、これら両方の技術について説明します。

SHA-3:堅牢なチャレンジ&レスポンス認証

暗号ハッシュアルゴリズムは、入力デジタルメッセージを短いメッセージダイジェストに変換し、デジタル署名や他のセキュリティアプリケーションで使用できるようにします。元のメッセージが1ビットでも変更されると、ダイジェストの値は大幅に変化します。これは雪崩効果と呼ばれています。これにより、元のメッセージに加えられた偶発的または意図的に加えられた変更を簡単に検出できます。暗号ハッシュアルゴリズムには、その他にも次のような特性があります。(1)一方向関数であるため、出力値から入力値を取得することは不可能です。(2)複数の入力メッセージから同一のダイジェスト出力が生成される確率(暗号技術者が「衝突」と呼ぶ現象)はほぼゼロです2、3)。暗号技術者は結局、SHAの最初のバージョンであるSHA-1の衝突を見つけることで脆弱性を発見しました。その時までに、NISTはSHA-2を承認しており、SHA-2もSHA-1と同様の数学的実装が使用されていますが、SHA-2は依然としてNISTの承認を受けたアルゴリズムであり、SHA-1に比べて優れた保護を提供します4)

NISTが2015年8月5日に公表したSHA-3は、スポンジ構造を利用した構造で構成されたKECCAK暗号関数に基づいています5)。スポンジ構造とは、任意の長さの入力ビットストリームを取得(吸収)し、任意の望ましい長さの出力ビットストリームを生成(搾出)するアルゴリズムの一種です。スポンジ関数を使用すると、暗号ハッシュ、メッセージ認証コード、その他の暗号プリミティブをモデル化または実装することができます。KECCAK関数は、ハッシュアルゴリズムの状態メモリ6)を変換する複雑なマルチラウンドf置換により、強力であると考えられています。

SHA-3は、NISTが公開コンペおよび審査プロセスを経て採用した最初の暗号ハッシュアルゴリズムです。NISTは、以下の点について各候補をコンペで評価した後、KECCAKアルゴリズムをSHA-3規格の基盤として選択しました。

  • パフォーマンスレベル (実装は問わない)
  • 大きな安全率を維持しながら既知の攻撃に耐える能力
  • 暗号解析に耐える能力
  • コードの多様性7)

SHA-3のもう1つの利点は、シリコン実装効率が挙げられます。これにより、他のアルゴリズムと比べてコスト効率に優れ、組み込みサブシステム、センサー、民生用電子機器などのセキュリティ保護に最適です8)

PUF技術が侵襲攻撃から保護

PUF技術のセキュリティ上の利点は、この技術がICの複雑に変動する物理的および電気的特性から導かれるという事実に基づいています。PUFは、ICの製造工程で生じる予測不可能かつ制御不可能な、ランダムな物理的要因に依存するため、複製や模造の作成は事実上不可能です。PUF技術は、関係するICのデジタル指紋を自然に生成します。このデジタル指紋は、認証、ID、偽造防止、ハードウェア-ソフトウェアの結合、および暗号化/復号化のアルゴリズムをサポートするための固有の鍵または秘密鍵として使用することができます。

PUFの実装方法はベンダーによって異なります。Maximの手法では、個々のPUF回路によって生成される固有のバイナリ値が温度および動作電圧範囲にわたって、またデバイスを長期間使用しても再現可能であることを保証します。「ChipDNA技術」と呼ばれるMaximのPUF回路は、基本的なMOSFETデバイスで自然に生じるランダムなアナログ特性を用いて暗号鍵を生成します。このPUFの実装は、必要な時のみPUF回路が固有のバイナリ値を生成して、チップのどこにも保存することがないので、高レベルのセキュリティを提供します。したがって、ICに侵襲して秘密鍵を発見しようとしても無駄です。さらに、ChipDNA技術を内蔵したデバイスが攻撃を受けた場合、その攻撃自体がPUF回路の電気的特性を変化させるので、侵入をさらに妨げることになります。