東芝は、暗号処理ICのサイドチャネル攻撃に対する評価技術を競う国際コンテスト「第4回 DPAコンテスト」(コンテスト概要:PDF)に参加し、短時間で耐性を評価するプログラムを開発した。その結果、評価理論限界の最小値「1波形」を実現し、ドイツのコンサルタント会社Segrids社と並んで1位を獲得した。
DPAコンテストは、サイドチャネル攻撃の中のDPA(Differential Power Analysis:差分電力解析攻撃)に対する解析技術を競う国際コンテストである。第4回のコンテストには、大学や評価機関、企業など世界10ケ国から15組織が参加した。DPAとは、ICが暗号化や復号処理をする際の微弱な消費電力の変化を収集し、統計処理することで秘密鍵を導き出す手法である。攻撃を受けても痕跡が残らず、その事実に気づかないため脅威となっている(図1)。
暗号処理ICのDPA耐性の評価において、対象の消費電力波形などをプログラムによって「類似判定」できれば、その秘密鍵は「特定可能である」と判定され、ICはDPA耐性が「なし」となる。類似性がなければ秘密鍵の特定はできないため、攻撃に対して有効な対策がされていることが確認できる。その「類似判定」に必要なプログラムには、事前に収集した消費電力の波形情報などから特徴量を抽出し、学習データとして蓄積する。評価を効率的に実施するには、確認に用いる消費電力波形数を少なくすることが求められる(図2)。
今回のコンテストでは、独立行政法人 産業技術総合研究所(AIST)と東北大学が共同開発している評価用ボード「SASEBO(Side-channel Attack Standard Evaluation Board)」を用いられた。主催者が提供する「ある特定の秘密鍵情報」をもつ波形データと、搭載したAES-256ソフトウエアのソースコードなどをもとに、いかに少ない波形数で評価対象の秘密鍵を特定する攻撃評価プログラムを作成できるか、その評価能力を競うものだった。今回、東芝とSegrids社は共に最小理論値の1波形で秘密鍵を特定した。
