# 周波数領域での暗号モジュールの電力解析 Power Analysis of Cryptographic Modules in Frequency Domain 菅原健<sup>†</sup>,本間尚文<sup>†</sup>,林優一<sup>†</sup>,水木敬明<sup>†</sup>,青木孝文<sup>†</sup>,曽根秀昭<sup>†</sup>,佐藤証<sup>‡</sup> Takeshi Sugawara Naofumi Homma Yu-ichi Hayashi Takaaki Mizuki Takafumi Aoki Hideaki Sone Akashi Satoh

# 1. まえがき

ディジタル回路の生じるノイズが、周辺機器の誤動作を 引き起こすことが知られている[1]. その要因の1つとして は、回路の動作にともなう高周波電流が、電源・グランド プレーンに同時スイッングノイズを生じさせることがあげ られる. このような現象は Electromagnetic Compatibility (EMC)の分野において広く研究されており、同時スイッチ ングノイズ発生のメカニズムや、ノイズの影響を抑制する 方法に関する成果が発表されてきた[2, 3].

一方, セキュリティ分野において, 電源やグランドの過 渡的な変動が回路の動作(計算内容)と相関することに注 目し, 暗号解読を行う手法が注目されている. このような 攻撃は, EMC 分野ではノイズとしか見なされていなかっ たスイッチングノイズに, 実際には暗号モジュールの動作 に関する情報(秘密情報)が含まれるために可能となる. このような回路の動作に伴う副次的な物理現象(サイドチ ャネル情報)を利用して暗号解読を行う攻撃をサイドチャ

ネル攻撃と呼び,特に,回路の消費電力に着目した攻撃を 電力解析(攻撃)[4,5]と呼ぶ.

一般的に利用される暗号アルゴリズムは,多くの研究者 による安全性評価の後に標準化されているため,非常に信 頼性が高い.しかし,現在,このような安全性評価におい て,物理的な計測に基づく攻撃は想定されていない.その ため,理論上安全なアルゴリズムであっても,サイドチャ ネル攻撃が脅威となり得る.

電力解析についても、これまで広く研究がなされており、 多くの対策法が発表されている.電力解析への対策は、一 般的に、LSI に内蔵される回路もしくはそのアルゴリズム レベルで施される[5].このような対策手法は、非常に高い 安全性を提供する一方、性能に大きなオーバーヘッドを生 じる.また、特に回路レベルでの対策を行う場合、既製の 部品を用いて構成するモジュールには適用が難しい点も問 題となる.

これに対して,安価で効率的な対策としてプリント基板 (PCB)レベルの対策が考えられる.具体的には,PCBにお いてノイズを抑制することで,攻撃への対策となり得る. これは,サイドチャネル攻撃はスイッチングノイズに含ま れる情報を抽出するため,秘密情報を含むノイズを抑制す れば,攻撃は困難となるためである.このような手法は, コストの面で,従来の対策手法より有利である.また, EMC の分野において蓄積されたノウハウを活用できると いう点においても有望である

ノイズ抑制は、特定の周波数帯を選択的に遮断するフィ ルタとして実現することが多い. そのため、スイッチング

†東北大学

: 産業技術総合研究所

ノイズ中で、秘密情報を含む周波数帯を同定することがサ イドチャネル攻撃の対策を施す上で重要である.

以上の背景より、本稿では、周波数領域における暗号モジュールの電力解析し、有意な情報を含む周波数帯を同定する手法について述べる.提案手法は、差分電力解析 (DPA)を、従来の時間領域でなく周波数領域で行い、その結果を有意な情報を含む周波数帯の同定に使用するものである.提案手法は、標準ブロック暗号 AES [6]を対象とした差分電力解析実験により評価する.さらに、提案手法により同定した有意な帯域を、ディジタルフィルタにより遮断することで、電力解析が困難になることを実験的に確かめる.

# 2. 差分電力解析

電力解析は、暗号モジュールの電源ノイズに含まれる漏 洩情報を利用する.しかし、多くの場合、計測波形に含ま れる漏洩情報は、その他のノイズ成分に埋もれている.そ のため、1回の暗号処理に対応する過渡波形では暗号解読 には不十分であることが多い.Kocher らによって提案され た差分電力解析(Differential Power Analysis: DPA)[4]では、 複数の暗号処理に対応する大量の波形を収集し、統計処理 により秘密情報を抽出する.Differential という言葉は、波 形間の差分を求めるという計算方法に由来するものである が、現在では統計的な手法を用いた電力解析の総称となっ ている[5].本稿では、DPAを改良した手法である Correlation Power Analysis (CPA)[7]について主に扱う.

# 2.1. Correlation Power Analysis

CPA の攻撃の流れを図 1 に示す. 図中において, グレー で表示した Plaintext, Secretkey は攻撃者にとって未知であ り,これらを取得することが攻撃者の目的である. 今, N 個の平文  $P_I \sim P_N$ が暗号化されるとき,攻撃者は対応する 暗文  $C_I \sim C_N$ を収集する.また,これと同時に,処理中の 暗号モジュールを計測し,電力波形  $W_I \sim W_N$ を収集する. ここで電力波形とは LSI の消費電流の時間変動であり,デ ィジタルオシロスコープを用いて計測するのが一般的であ る.攻撃者は,消費電力モデルと鍵の予測値を用い,暗文  $C_I \sim C_N$ から予測電力値  $E_I \sim E_N$ を計算する.消費電力モデ ルが成立する場合,鍵の予測値が正しい場合に限り,電力 波形  $W_I \sim W_N$ と予測電力値  $E_I \sim E_N$ は相関を有する.全ての 鍵候補について相関値を計算した後,最も高い相関値を鍵 の値が,その真値と判定される.この結果,本来秘密にす べきであった鍵が攻撃者の手に渡り,攻撃が完了する.

本手法は鍵を全探索する Brute-force attack と比較して大幅に計算量を短縮できる. Brute-force attack では, 鍵長全体の探索が必要である. 一般的に用いられる 128 ビットの鍵では  $2^{128}$  ( $\approx 10^{38.5}$ )の探索が必要であり, これは現実的な時間で実行不可能である. それに対し, 例えば共通鍵暗号

AES に対する CPA では, 鍵を 8 ビットごとに分割して探 索できる. そのため, 探索空間は 2<sup>8</sup>×8 (≈10<sup>3.6</sup>)に減少し, 現実的な時間で実行可能となる.

# 2.2. 周波数領域での差分電力解析

上述の DPA(CPA でも同様)のアルゴリズムは,取得した N 枚の波形において,計測タイミングが正確にそろってい ることを想定している.しかし現実の攻撃では,暗号モジ ュールと正確に同期したトリガ信号を取得するのは困難で ある.この結果,計測波形には位置ずれ誤差が含まれる. もし位置ずれが無視できないほど大きい場合,DPA の解析 精度が低下し,鍵の導出により多くの波形が必要になるこ とが知られている.そのため,意図的な時間ずれを挿入す る防御法[5]や,信号処理により時間ずれ補正を行う攻撃法 が提案されている[8].

特に、文献[9]では、周波数領域において DPA を行う手 法が提案されている.この手法では、図 1 の攻撃フローに おいて、時間波形の変わりに、計測波形  $W_I \sim W_N$ から、離 散フーリエ変換(DFT)を用いて計算した振幅スペクトラム を用いる.この時、振幅スペクトラムは時間領域における 位置ずれに対して不変であるため、上述した位置ずれの問 題を解決できる.本稿では、この手法を応用し、計測波形 の振幅スペクトラムから、有意な情報(情報漏洩)を含む 周波数帯を同定する.

# 3. 情報漏洩を含む周波数帯の同定法

従来の電力解析では、対象のプロセッサアーキテクチャ のデータパス幅に関わらず、より少ないビット数(AESの 場合例えば8ビット)で電力値を予測する.鍵を分割して 探索できるのはこのためである.

これに対し、対象の暗号モジュールの安全性評価を行う ことを想定し、暗号モジュールについて完全な知識を有す る評価者を考える.評価者は鍵を有するため、データパス 全体を考慮して、より詳細な予測電力値を計算できる[10].

評価者は、このような詳細な予測電力値と計測波形の相 関を求めることで、相関-時間のグラフを計算できる.こ の手法により得られた結果は、通常の電力解析の予測電力 値から求めた値と比較して、より精度の高いものとなる. これは、従来の解析では残りのビット(データパス幅 128 ビットに対し 8 ビットで予測した場合、128-8=120 ビッ ト)分がノイズ源(アルゴリズミックノイズ[11])として 働くためである.このようにして得た相関値は、DPA に要 する波形数を推定するのに用いることができることが知ら れている[10].以下では、本手法を既知鍵評価と呼ぶこと にする.

提案手法は、上述の既知鍵評価を周波数領域で行う.提 案手法のフローを図2に示す.まず,設計者は128ビット のデータパス幅全体を考慮し、詳細な電力予測値 $E'_{I} \sim E'_{N}$ を計算する.これと同時に、計測した電力波形 $W_{I} \sim W_{N}$ を, DFTにより振幅スペクトラム $S_{I}(f) \sim S_{N}(f)$ に変換する.その 後,設計者は電力予測値 $E'_{I} \sim E'_{N}$ と振幅スペクトラム $S_{I}(f)$  $\sim S_{N}(f)$ の間の相関値を計算し、相関-周波数のグラフを計算 する.この結果得られたグラフにおいて、高い相関値を得 た周波数帯が、有意な情報を含む周波数帯として同定され る.

# 4. 実験

#### 4.1 波形取得

提案手法は、実験により評価した.実験システムのブロ ック図と実験条件を図3と表1にそれぞれ示す.実験シス テムは、サイドチャネル攻撃標準評価基板 SASEBO[12]、 オシロスコープ,および PC から構成される. SASEBO 上 には 2 つの FPGA (Field Programmable Gate Array): FPGA1 と FPGA2 が搭載されている. FPGA1 上には共通鍵暗号 AES のコア[13]を, FPGA2 には制御回路を搭載した. これ らの FPGA は、水晶発振器より入力する 24MHz のクロッ クにより駆動した.これは、スマートカードのような安価 な組込システムにおいて用いられる周波数を想定したもの である. 計測においては, PC から FPGA2 経由で FPGA1 に平文を入力し、そのたびに暗号化を行った.この時、 FPGA1 のグランドピンと基板のグランドプレーンの間に挿 入された 1Ωの抵抗器の両端での電圧降下を,ディジタル オシロスコープにより記録した.なお、オシロスコープの トリガは、FPGAの IO ピンより取得した. このような実験 を 30,000 個の平文に対して繰り返し行い, 対応する 30,000 個の波形を収集した.以降では、これらの波形を電力波形 として参照する.電力波形の例と、対応する振幅スペクト ラムを図 4,5 にそれぞれ示す.図4 において,およそ 140ns の位置において暗号化が開始し、11 サイクル(458 ns=11×1/24MHz)後に完了する.図より,暗号化が行われ ている区間において、計測値が増大する様子が観察できる. 一方,図5に示す振幅スペクトラムは、図4の時間波形に DFT を適用することで計算したものである. なお横軸は, オシロスコープのサンプリング周波数 4.0GSa/s に対応する 有効な周波数 2.0GHz までを表示している.



図1 攻撃の流れ



図2 有意な情報を含む周波数帯を同定する流れ

# 4.2. 有効な帯域の同定

第3節で述べた既知鍵評価および,提案手法(周波数領 域での既知鍵評価)の結果を,図6,7にそれぞれ示す.な お,予測電力値は,AESの最終ラウンドを対象とし,電力 モデルとしてハミングディスタンスモデルを仮定して計算 した.比較のため,誤った予測電力値として,上述の正し い予測電力値をランダムにシャッフルしたものを計算した. 図6,7において,正しい予測電力値による相関値を黒,誤 った予測電力値による相関値を灰色で示してある.

図6において、正しい予測電力値では相関の最大値0.35 が得られた.これに対し、誤った予測電力値による相関値 はほぼゼロである.図6の時間―相関のグラフは、550ns 付近で上昇を始め、振動しながらゼロへ収束していく、相 関が現れるタイミングは、AES の最終ラウンドが始まる時 間と一致する.一方,図7に示す周波数領域の結果では, 最大の相関値は 0.22 と、図 6 による結果 0.35 と比較して 小さかった. これは、DFT を波形全体(0<t<1000ns, 4000 点) に対して適用したため、図 6 において相関を持たない 0<t<550nsの領域がスペクトラムに混入し、相関値を下げ たものと考えられる. より短い時間窓で DFT を適用する ことで結果を改善することも可能であるが、相関を持つ周 波数帯を探すという目的のためには、図7の結果で十分で ある.図より、0-50MHz に強い相関があり、比較的小さい 相関が 50-500MHz の領域に存在することが分かる. 提案 手法では、このように相関を有する周波数帯が、暗号処理 と相関する情報を有すると同定する.

### 4.3. 帯域制限した波形への DPA

本節では、前節で有意な情報を含むと判定された周波数 帯を制限することで、DPA が困難になることを実証する. 前節の結果は、計測波形は 0-50MHz で強い相関を、50-500MHz で弱い相関を有することを示していた. この周波



| ₹ I | 美颖余忤 |      |
|-----|------|------|
|     |      | Setu |

|                  | Detup                                 |  |
|------------------|---------------------------------------|--|
| Oscillosoono     | Agilent MSO6104A                      |  |
| Oscilloscope     | @ 4.0 GSa/s                           |  |
| Voltage probe    | Agilent A1130A with SMA probe         |  |
|                  | head (up to 1.5 GHz)                  |  |
| Operating freq.  | 24MHz                                 |  |
| Num. acquisition | 30,000                                |  |
| -                | · · · · · · · · · · · · · · · · · · · |  |

数帯を除去するため、ローパスフィルタ(LPF)およびハイ パスフィルタ(HPF)を設計し、計測波形へ適用した.この ために、遮断周波数  $f_c$ が 50MHz のもの(LPF1 および HPF1) と、500MHz のもの(LPF2 および HPF2)の合計 4 種類を作 成した.それぞれのフィルタの周波数応答を図 8 に示す. これらのフィルタは、計測波形に対して順方向と逆方向の 2 回適用し、ゼロ位相特性に補正した[14].

時間領域での CPA を,5 種類の波形:(i)計測波形,およ びフィルタ出力である(ii)LPF1,(iii)HPF1,(iv)LPF2, (v)HPF2 へ適用した.図9に,CPA の結果をエラーレート により表示した.図の縦軸は16バイト(=128 ビット)のラ ウンド鍵全体のうち推定に失敗したバイト数(エラーレー ト)である.すなわち,値がゼロの時,AES のラウンド鍵 全体の解読に成功していることを表す.一方,横軸は,解 析に用いた波形数である.少ない波形数で低いエラーレー トを示す場合,解析が容易であると言えるため,図より攻 撃の難易度を読み取ることが可能である.

(i), (ii)および(iv)は、ほぼ同様のグラフを描いた. これら



の結果は、低い帯域(0-50MHz)を共有している.そのため、 この領域が CPA の結果を支配したと考えることができる. これは、図 7 において、0-50MHz の帯域が強い相関を持っ ていたことと合致する.これに対し、(iii)HPF1 を適用する と、この支配的な周波数 0-50MHz が遮断される.これら を比較すると、(iii)による結果は、(i)、(ii)、(iv)と比較し、解 読するのにより多くの波形数を要することが分かる.こ結 果、(iii)では、30,000 波形を用いても 16 バイトすべてを解 読することはできなかった.これは、図 7 において高い相 関を得た周波数帯を遮断することで、CPA による攻撃が困 難になったことを示している.

(iii)の結果では、解読は困難にはなったものの、以前として攻撃は成功しており、より多くの波形を用いれば、全体の解読も可能であると予測される.これは、図7において弱い相関を得ていた 50-500MHz の帯域による影響によるものと考えられる.これは、0-500MHz の帯域を遮断する(iv)の結果において、鍵の一部さえ取得することができなかったことと合致する.

以上の結果は,提案手法により有意な情報を含む周波数 帯の同定が行われたことを示している.また,提案手法に より有効な周波数帯域を同定し,その帯域を遮断するよう な対策を施せば,DPAの対策となることを示すものである.

# 5. まとめ

本稿では、DPA において有効な周波数帯域を同定する手 法を提案した.既知鍵の条件で CPA を実行することで有 効な周波数帯を同定した.実験により、同定した周波数帯 をフィルタで遮断することで、CPA が困難になることを実 証した.本稿の結果より、サイドチャネル情報の漏洩を効 率的に遮断するノイズフィルタの設計が可能となる.今後 は、様々な実験条件(ほかのデバイスやクロック周波数) において実験を行い、有効な周波数帯域を決定する要因や 回路構造の検討を行う予定である.また、PCB へのフィル タの実装方法についても検討する.

# 参考文献

[1] T. Sudo, H. Sasaki, N. Masuda and J. Drewniak, "Electromagnetic interference (EMI) of system-on-package (SOP)," IEEE Trans. Advanced Packaging, 27(2), pp. 304--314, 2004

#### (ii) LPF1 (fc=50MHz) (iii) HPF1 (fc=50MHz 20 20 0 0 <table-cell> -20 뜅 -20 -40 -40 H(e<sup>ju</sup>)| H(e<sup>c</sup> -60 -60 -80 -80 -100 -100 1000 Frequency [MHz] 1500 500 1000 Frequency [MHz] (iv) LPF2 (fc=500MHz) (v) HPF2 (fc=500MHz) 20 20 0 0 [g 면 -20 -20 -40 -40 () 30 −40 1 −60 -60 -80 -80 Nam -100 -100 Frequency [MHz] 2000 2000 1000 1500 Frequency [MHz]

図8 設計したフィルタの周波数応答

[2] C. R. Paul, "Introduction to Electromagnetic Compatibility (Wiley Series in Microwave and Optical Engineering)," Wiley-Interscience, 2006

[3] D. Hockanson, J. Drewniak, T. Hubing, T. Van Doren, F. Sha, and M.Wilhelm, "Investigation of fundamental EMI source mechanisms driving common-mode radiation from printed circuit boards with attached cables," IEEE Trans. Electromagn. Compat., vol. 38, no. 4, pp. 557-566, Nov. 1996.

[4] P. Kocher, J. Jaffe, and B. Jun, "Differential Power Analysis," CRYPTO 1999, Lecture Notes in Computer Science, vol.1666, pp.388 – 397, Aug. 1999.

[5] S. Mangard, E. Oswald, T. Popp, "Power Analysis Attacks: Revealing the Secrets of Smart Cards," Springer-Verlag, 2007.

[6] NIST, "Advanced Encryption Standard (AES) FIPS Publication 197," Nov. 2001.

[7] E. Brier, C. Clavier, and F. Olivier, "Correlation Power Analysis with a Leakage Model," CHES 2004, LNCS 3156, pp. 16-29, 2004.

[8] N. Homma, S. Nagashima, Y. Imai, T. Aoki, and A. Satoh, "High-resolution Side-Channel Attack Using Phase-Based Waveform Matching," CHES2006, LNCS4249, pp. 187-200, 2006.

[9] H.C. Gebotys, S. Ho, and C.C. Tiu, "EM analysis of Rijndael and ECC on a Wireless Java-based PDA," CHES 2005, LNCS, vol.3659, pp.250 – 264, Aug. 2005.

[10] 渡部,高橋,松本,"暗号モジュールへの信号ラインからのサイドチャネル攻撃(2)-詳細実験結果-,"コンピュータセキュリティシンポジウム 2008 (CSS2008), Oct. 2008.

[11] F. -X. Standaert, S. B. Őrs, and B. Preneel, "Power Analysis of an FPGA Implementation of Rijndael: Is Pipelining a DPA Countermeasure?," CHES 2004, LNCS3156, pp. 30-44, Aug. 2004.

[12] Research Center for Information Security, AIST, "Sidechannel Attack Standard Evaluation Board (SASEBO),"

http://www.rcis.aist.go.jp/special/ SASEBO/index-en.html

[13] "Cryptographic Hardware Project," Computer Structures Laboratory, Graduate School of Information Sciences, Tohoku University, http://www.aoki.ecei.tohoku.ac.jp/crypto/.

[14] Oppenheim, A.V., and R.W. Schafer, "Problem 5.39," in Discrete-Time Signal Processing, Prentice-Hall, 1989.



図9 CPAの結果 (エラーレート)