L-008

# AES のハードウェア実装に対するテンプレート攻撃 Template Attack on AES Hardware Implementations

金 用大<sup>†</sup> 菅原 健<sup>†</sup> 本間 尚文<sup>†</sup> 青木 孝文<sup>†</sup> 佐藤 証<sup>‡</sup> Yongdae Kim Takeshi Sugawara Naofumi Homma Takafumi Aoki Akashi Satoh

#### 1. まえがき

近年,暗号を実装したモジュール(暗号モジュール) の物理的な挙動(サイドチャネル情報)を計測するこ とで,暗号解読を行う攻撃手法(サイドチャネル攻撃) の危険性が指摘されている.たとえアルゴリズムが計 算量的に安全であったとしても,サイドチャネル攻撃 により演算過程が観測されることで解読される可能性 がある.研究レベルでは,攻撃の成功例が多く発表さ れており[1]-[3],民生品への攻撃も現実的な脅威とみ なされている.

サイドチャネル攻撃の一つである,電力解析攻撃[1] は,暗号モジュールの消費電力から秘密情報を抽出す る攻撃である.比較的安価な計測装置(オシロスコー プ等)で実行可能であり,攻撃の痕跡も残らないこと から,特に重要な攻撃と位置づけられている.文献[1] では,基本的な解析手法である単純電力解析および差 分電力解析が示されている.これを契機として,これ まで多くの攻撃法および防御法の研究がなされている. その中でも,テンプレート攻撃[4]は最も強力な手法 の1つとして知られている.テンプレート攻撃の特徴 は,攻撃者が自由に操作・観測できる参照モジュール を用い,攻撃対象モジュールの情報収集(プロファイ リング)を事前に行うことにある.プロファイリング によって得た知識を用いることで,実際の攻撃時は対 象モジュールを少ない計測回数で効率的に解読できる.

これまで,テンプレート攻撃についても広く研究が 行われており,多くの成果が発表されている[4]-[9].

しかし,これらの多くは,暗号アルゴリズムの実装 形態として8ビットマイクロコントローラを対象にす るものである.これに対し,専用のハードウェア実装 へ適用した事例は少ない[7]-[9].これは,専用回路の 持つ高い並列性により,マイクロプロセッサと同様の 手法を適用できないためである.ハードウェア実装を 対象とした既存研究[7]-[9]の結果も,暗号アルゴリズ ムのサブセットを対象とした基礎実験であり,暗号ア ルゴリズム全体を実装したハードウェアへの攻撃およ び全鍵空間のテンプレート攻撃は示されていない.

本稿では,並列性の高い専用ハードウェア実装に対し ても有効なテンプレート攻撃を提案する.テンプレート 攻撃をハードウェア実装向けに拡張する手法を述べる とともに,FPGA (Field Programmable Gate Array) 実装を用いた実験によりその有効性を示す.実験では, 専用基板 SASEBO[10] 上の FPGA に AES(Advanced Encryption Standard [NIST])の暗号コアを計測対象 とした.また,計測した電力波形の解析では,比較の

kimyd, sugawara, homma@aoki.ecei.tohoku.ac.jp, aoki@aoki.ecei.tohoku.ac.jp

akashi.satoh@aist.go.jp

ため、上述のテンプレート攻撃に加えて、従来法である CPA(Correlation Power Analysis)を適用した.以上の比較実験から、専用ハードウェア実装に対してもテンプレート攻撃が成功すること、従来の CPA よりも高い攻撃能力を有することを示す.

#### テンプレート攻撃

本章では,テンプレート攻撃のアルゴリズムを概説 し,ハードウェア実装に適用する場合の問題点につい て述べる.

2.1 テンプレート攻撃の概要

テンプレート攻撃は、(i)プロファイリングフェーズ および(ii)攻撃フェーズから構成される.プロファイ リングフェーズでは,攻撃者が攻撃対象と同種類のモ ジュール(参照モジュールM)を用いて,対象となる モジュールの特性を求める.その後,攻撃フェーズで, 攻撃対象(入力等を操作できない)モジュールM'に対 して鍵推定を行う.その際,プロファイリングフェーズ で得た事前知識を用いることで,少ない観測での効率 的な攻撃が可能となる.自由に操作可能な参照モジュー ルを必要とするため,攻撃が可能となる条件は単純電 力解析や差分電力解析と比べて厳しいと言える.しか し,製品化される暗号モジュールは通常量産されるた め,参照モジュールの入手は現実的に可能である場合 が多い.

2.2 プロファイリングフェーズ

プロファイリングフェーズでは,計測する電力波形 を,確率分布によりモデル化することでテンプレート を作成する.

テンプレート攻撃では,波形 w が暗号処理の中間値 x に応じて変化することを想定する.この際,w を確 率変数とみなし,その確率分布を求めることを考える. そのため,中間値 x のとりうる全ての場合について確 率密度関数  $p(w|x)(x \in x^*)$  を考える.ここで, $x^*$  は, 中間値 x の取り得る全ての値の集合である.そのため, テンプレート数は  $|x^*|$  となる.いま,計測波形 w が多 変量ガウス分布:

$$\mathbf{w} \sim \frac{exp(-\frac{1}{2}(\mathbf{w} - \mathbf{m})^T \mathbf{C}^{-1}(\mathbf{w} - \mathbf{m}))}{\sqrt{(2\pi)^L det(\mathbf{C})}}$$

に従うことを仮定した場合,確率密度関数は平均 m と 共分散行列 C により特徴付けられる.そこで,m と C のペアをテンプレート  $T_x$ とする.

$$T_x = (\mathbf{m}, \mathbf{C})_x \tag{1}$$

プロファイリングフェーズでは,操作可能な参照モジュールから任意の波形を取得し,上述の $(\mathbf{m}, \mathbf{C})_x$ を求める.具体的には,平文 $PT_i$ に対して取得した時刻tの計測波形 $w_{i,t}$ に対し,

<sup>†</sup> 東北大学大学院情報科学研究科

<sup>〒 980-8579</sup> 宮城県仙台市青葉区荒巻字青葉 6-6-05

<sup>&</sup>lt;sup>‡</sup>独立行政法人産業技術総合研究所 情報セキュリティ研究センター 〒 101-0021 東京都千代田区外神田 1-18-13

$$m_t = \frac{1}{D} \sum_{i=1}^{D} w_{i,t} \tag{2}$$

$$C_{t_1,t_2} = \sum_{i=1}^{D} \frac{(w_{i,t_1} - m_{t_1})(w_{i,t_2} - m_{t_2})}{D} \quad (3)$$

を計算する.ここで, $i, t_1, t_2$ は, $1 \le i \le D$ , $1 \le t_1, t_2 \le L$ であり, $D \ge L$ はそれぞれ波形数と一つの波形で取得した点数 (サンプル数)である.

2.3 攻撃フェーズ

攻撃フェーズでは,対象モジュールの電力波形から, その中間値 xの推定を行う.この際,プロファイリン グフェーズで得たテンプレートを用いて最尤推定法を 用いる.

尤度には,条件付き確率 $p(x|\mathbf{w})$ を用いる.この値は, ベイズの定理より,

$$p(x|\mathbf{w}) = \frac{p(\mathbf{w}|x) \cdot p(x)}{\sum_{x=1}^{|x^*|} (p(\mathbf{w}|x) \cdot p(x))}$$
(4)

と与えられる.上述のとおり, $p(\mathbf{w}|x)=p(\mathbf{w};(\mathbf{m},\mathbf{C})_x)$ であるため, $p(\mathbf{w}|x)$ は,

$$p(\mathbf{w}|x) = p(\mathbf{w}; (\mathbf{m}, \mathbf{C})_x)$$
(5)

$$= \frac{exp(-\frac{1}{2}(\mathbf{w} - \mathbf{m})^{T} \mathbf{C}^{-1}(\mathbf{w} - \mathbf{m}))}{\sqrt{(2\pi)^{L} det(\mathbf{C})}}$$
(6)

となる.この結果, $p(x|\mathbf{w})$ が計算され,

$$x_c = \operatorname*{argmax}_{x \in x^*} p(x|\mathbf{w})$$

となる $x_c$ が,中間値として推定される.

実際の攻撃では,中間値 x を秘密鍵もしくは鍵に関 連した量に設定する.この結果,テンプレート攻撃に より,秘密情報が抽出可能となる.

2.4 ハードウェア実装への従来法の適用

前節で述べたように,テンプレートは,中間変数 xのとりうる値の個数  $|x^*|$  作る必要がある.データパス 幅が8 ビットのマイクロコントローラを考えた場合,そ の個数は  $|x^*| = 2^8 = 256$  となり,十分に作成可能であ る.また,文献 [11] では,中間値そのものではなく,そ のハミングディスタンスについてテンプレートを作成 することで,その数を削減している.その場合,8 ビッ トのマイクロコントローラでは,8 ビットに対応する 9 種類のハミングディスタンス0~8 を考えればよい. すなわち  $|x^*| = 9$  となる.ただし,この場合に得られ るのは,秘密鍵と等しいハミングディスタンス値をも つ鍵候補であることに注意されたい.

一方,高い並列性を有するハードウェア実装では,中間変数xの取り得る範囲は非常に大きいものとなる.例えば,鍵長128 ビットの暗号アルゴリズムに対して,128 ビット幅のデータパス回路を設計することは現実的であるが,従来のテンプレート攻撃では,テンプレートの個数が $|x^*| = 2^{128}$ となり,その作成は困難となる.



図 1: AES 暗号アルゴリズムの最後ラウンドのデータ パス

ハミングディスタンスを用いてテンプレートを作成す る場合, $|x^*| = 129$ 個のテンプレートは作成可能であ るものの,(i)攻撃フェーズで $2^{128}$ の探索が必要もしく は(ii)得たハミングディスタンスから鍵を導出するの が困難であり,こちらも現実的には難しい.

このような背景から,これまで暗号アルゴリズムの 完全なハードウェア実装に対してテンプレート攻撃に 成功した例はなかった.既存の成果には,とりうる鍵 空間に制限をかけているもの[8],もしくは,暗号アル ゴリズムの一部である S-Box に対して攻撃を行ってい るもの[7] があるのみである.

本章では,高い並列性を有するハードウェア実装に 対しても適用可能なテンプレート攻撃を提案する.こ こでは,従来困難だった鍵長分の並列性を有する実装 形態を想定する.提案手法では,上述した問題を解決 するため,(i)テンプレート数および(ii)共分散行列サ イズの観点から攻撃に要する計算量を削減する.また, この削減に伴い攻撃フェーズを拡張する.

3.1 テンプレート数の削減

提案手法では,テンプレート数を削減するため,デー タパス幅のうち所望のデータ幅にのみ注目し,残りは ノイズ源として扱う.このように,注目していないデー タパス幅をノイズ源と見なすことは,差分電力解析に おいて導入されており[12],注目していないデータに よるノイズ成分は,アルゴリズミックノイズと呼ばれ る.以下では,128 ビットのデータパスを有する鍵長 128 ビットの AES 回路に対して,8 ビット分の鍵推定 を行う攻撃を例に説明する.このとき,注目していな い残りの120 ビットがアルゴリズミックノイズとなる.

図1に最後ラウンドのデータパスを示す.暗文が既 知であれば,AddRoundKeyでXOR加算される最後 ラウンド鍵の一部を8ビットごとに予測することで,各 予測の鍵に対して,ハミングディスタンス値を計算す ることが可能である.8ビットの部分鍵を攻撃対象にし ているため,ハミングディスタンスの値は0から8と なる.各ハミングディスタンス値に対する波形を大量 に集めて,平均と共分散行列を計算すると,ハミング ディスタンス値に応じて全9個のテンプレートを作る ことができる.



図 2: 128 ビット長のハミングディスタンス値の相関値 と実測した AES の FPGA 消費電力波形



図 3: 消費電力の分散

3.2 共分散行列サイズの削減

提案手法は,テンプレート数と並んで計算量に影響 を与える共分散行列のサイズも削減する.共分散行列 の大きさはテンプレートで使用する時間軸上の点(*interesting points*)の数で決定される.*interesting points* を求める手法は広く議論されており,現在まで主成分 分析を用いる方法[8]や消費電力の平均を求め平均の差 が大きい値をとる方法[13]などが提案されている.

本手法では,たとえデータパス幅が広かったとして も,プロファイリングフェーズにおいては,その全体 のハミングディスタンスを求めることができるという 事実に基づく.これは,プロファイリングフェーズに おいて鍵が既知であるためである.本稿では,以下の 手順に従い interesting points を選択する.

1. ハミングディスタンス値の計算

参照モジュールを用いて,攻撃対象の最後ラウン ドに対して任意の鍵をセットして波形を取得する. それと並行して,鍵長(全語長)の処理が並列に



 $\blacksquare$  4: interesting points

動作している場合,全語長のハミングディスタン ス値を求める.このハミングディスタンス値は消 費電力と線形な関係が成り立ち,かつ暗号ハード ウェアまたは実験環境からのノイズが全く存在し ない状態を仮定した消費電力モデルとなる.

2. 相関値の計算

上記で求めたハミングディスタンス値  $h_i$ と時刻 tの波形  $w_{i,t}$  とのピアソン相関係数  $\rho_t$  を以下の式で求める.

$$\rho_t = \frac{\sum_{i=1}^{D} (w_{i,t} - \bar{w}_t)(h_i - \bar{h})}{\sqrt{\sum_{i=1}^{D} (w_{i,t} - \bar{w}_t)^2 (h_i - \bar{h})^2}}$$
(7)

ここで,  $h_i$  は最大で語長分の値をとるハミングディ スタンス値であり, D は波形数である( $1 \le i \le D$ ).また,時刻 t の波形(電圧)の平均値  $\bar{w}_t$  お よびハミングディスタンスの平均値  $\bar{h}$  はそれぞれ  $\bar{w}_t = \frac{1}{D} \sum_{i=1}^{D} w_{i,t}$ ,  $\bar{h} = \frac{1}{D} \sum_{i=1}^{D} h_i$  と与えられ る.例として,128 ビット長のデータパスを有す る AES 回路の電力波形 100,000 を用いて相関係数 を求めた結果を図 2 に示す.この相関値が高いこ とが interesting points 選択の基本となる.

3. 分散値の計算

上記の相関値に加えて,平文の消費電力への影響 を考慮するため,以下の分散値を求める.

$$v_t = \frac{1}{D} \sum_{i=1}^{D} (w_{i,t} - \bar{w}_t)^2 \tag{8}$$

図2で用いた100,000の波形に対して上式で求め た分散をプロットしたものを図3に示す.ここで, 分散の高い点は,平文に応じて消費電力が大きく 変化することを示す.

4. *interesting points* の選択

相関値と分散を考慮した以下の式からある時刻tにおける評価量 $\varphi_t$ を求める.これは相関が高く,かつその変動が大きい点を探すという観点から決めたものである.

$$\varphi_t = \rho_t v_t \tag{9}$$

提案手法では, $\varphi_t$ 値が上位の点を interesting points とし,ハミングディスタンス値からテンプ レートを作成する.図4に $\varphi_t$ の高い値から5点を interesting points とした結果を示す.

上記の例で使用した 100,000 の波形に対して提案 手法で求めた *interesting points* におけるハミング ディスタンスと平均消費電力の関係を図 5(a) に示 す.また,参考のため, $\varphi_t$ の低い5点を *interesting points* としたときの場合を図 5(b) に示す.図5よ り,提案手法で選択した (a) の *interesting points* は (b) と比べて,ハミングディスタンス値と波形 (電圧)値に相関があることを確認できる.

3.3 攻撃フェーズの拡張

攻撃対象のモジュールが平文  $PT_i$  を暗号化するときに 生じる消費電力波形を  $t_i$  とする.このとき,攻撃フェーズでは,その波形が鍵  $k_j$  ( $\in k^* = \{0 \le k \le 2^s - 1\}$ , s は一度に推定する鍵の語長)を用いて取得した波形で ある確率をベイズ定理から求めることになる.しかし, 提案手法は,全鍵空間分のテンプレートをもたず,また,アルゴリズミックノイズの影響のため,単一の波 形  $t_i$  から鍵を正しく推定することはできない.そこで, 複数の波形 ( $t_1$ ,..., $t_D$ )を用いて,確率  $p(k_j | t_1,...,t_D)$ を以下のように計算する.

$$p(k_j | \mathbf{t}_1, ..., \mathbf{t}_D) = \frac{(\Pi_{i=1}^D p(\mathbf{t}_i | k_j)) \cdot p(k_j)}{\sum_{l=1}^K ((\Pi_{i=1}^D p(\mathbf{t}_i | k_l)) \cdot p(k_l))}$$
(10)

ここで, K は鍵候補の数であり, 128 ビットデータパ スを有する AES 暗号回路の鍵を 8 ビットごとに推定す る場合, K = 256 となる.また,  $p(k_j)$  は鍵が  $k_j$  であ る確率であり,

$$\sum_{j=1}^{K} p(k_j | \mathbf{t}_i) = \sum_{j=1}^{K} p(k_j) = 1$$

と与えられる . 各鍵の確率が一様分布とすると ,  $p(k_j) = 1/K$  となる . また , 確率  $p(\mathbf{t}_i|k_j)$  は

$$p(\mathbf{t}_i|k_j) = p(\mathbf{t}_i; (\mathbf{m}, \mathbf{C})_h)$$

である.ただし,  $(\mathbf{m}, \mathbf{C})_h$  は平文  $PT_i$  と鍵  $k_j$  から求め たハミングディスタンス h のテンプレートである.以 上から,最尤推定を用いて,全鍵空間  $k^*$  に対して,以 下の式を満たす  $k_c \in k_*$  を探すことで鍵を推定する.

$$k_c = \underset{k \in k^*}{\operatorname{argmax}} p(k|\mathbf{t}_1, ..., \mathbf{t}_D)$$
(11)

なお,計算能力が許す限り,語長sを増やすことがで きる.

# 4. 実験

本章では、上述の手法の有効性を評価するため、AES のハードウェア実装に対するテンプレート攻撃実験を 示す.まず、攻撃対象とする AES の回路構造を示す、 その上で、サイドチャネル評価基板を用いた実験環境 について述べ、テンプレート攻撃の実験結果を示す、

# 4.1 AES のハードウェア実装

AES 暗号アルゴリズムの概略を図 6(a) に示す.デー 夕攪拌部は, SPN (Substitution Permutaion Network) 構造が用いられており, 鍵長 128 ビットのとき 10 ラウ ンドの処理から構成される.1ラウンドは,4種類のサブ 関数 (i) AddRoundKey, (ii) SubBytes, (iii) ShiftRows, および (iv)MixColumns から構成される.それぞれの サブ関数は,128 ビットのデータブロックをステート と呼ばれる 4×4 バイトの行列と解釈し, その変換を 行う.ここで, AddRoundKey はラウンド鍵とステー トの排他的論理和, SubBytes は S-Box と呼ばれる置 換テーブルによる非線形置換, ShiftRows はステート の各行に対する巡回シフト, MixColumns は行列演算 を行う.ラウンド1からラウンド9までは4種類の処 理が行われ,最後のラウンドだけ MixColumns 以外の 3 種類の処理が行われる. KeySchedule は各ラウンド で使用されるラウンド鍵を生成する.AESの詳細な処 理については文献 [14] を参照されたい.

本稿で扱う AES コアのデータパスアーキテクチャを 図 6(b) に示す.ここでは鍵長 128 ビットを想定してい る.図において左半分が1段文のラウンド関数ブロッ クを持つ攪拌部であり,右半分が鍵スケジュール部で ある.データ攪拌部では,4つのサブ関数に対応する 機能が組み合わせ回路で実現されている.データパス 幅は128 ビットであり,上述した AES の1ラウンドの 処理を,1クロックサイクルで実行する.AES は非常 に多様なハードウェア実装が可能であるが,上述の実 装はその中でも最も一般的な構造の1つである.

#### 4.2 実験環境

本実験では,AES の実装にサイドチャネル標 準評価ボード SASEBO[10] の FPGA を用いた. 図 7 に実験システム外観とブロック図を示す.測 定機器の詳細を表 1 に示す.AES の暗号コア には,S-box を合成体 *GF*(((2<sup>2</sup>)<sup>2</sup>)<sup>2</sup>) 上の演算器 により実装したものを使用し,秘密鍵の値は, (0*x*8*b*6*afe*6*ae*26877819331778365636*d*9*f*)<sub>128</sub> とした. また,波形は,図7(b)のようにFPGAのGND 線上 に挿入された抵抗部分から計測した.

本実験では,簡単のため,以上のシステムにより計測 した波形をプロファイリングと攻撃の両フェーズで用 いてテンプレート攻撃を実施した.本来のテンプレー ト攻撃では参照モジュールと攻撃対象モジュールが異 なることに注意されたい.具体的には,平文の異なる 205,000の波形を取得し,そのうち 200,000 枚の波形を プロファイリングフェーズ,残りの 5,000 枚の波形を 攻撃フェーズで用いた.なお,プロファイリング時の テンプレート作成では 5 点を interesting point として 使用した.

また,従来法として CPA[3]を同一の波形に対して実施し,その結果をテンプレート攻撃の結果と比較した.



図 5: ハミングディスタンス値と平均消費電力の関係 (a) 高い  $\varphi_t$ を持つ 5 点 (b) 低い  $\varphi_t$ を持つ 5 点



図 6: AES 暗号 (a)AES の暗号化処理 (b) 実装したデータパスアーキテクチャ

CPA では, テンプレート攻撃と同様に,図1に示す AES の最終ラウンドを対象とした.この時,レジスタ のバイトごとにハミングディスタンスモデルに基づい て消費電力の予測値を作成した.また,上述の予測値 と計測波形間の相関をピアソンの相関係数により鍵の 推定を行った.

#### 4.3 実験結果

図8にテンプレート攻撃とCPAの結果を示す.ここで,横軸は解析に用いた波形数であり,縦軸は各攻撃 法で鍵推定に影響を与える値である.二つの攻撃はい ずれも128ビットの鍵を8ビットごと独立に推定する 必要があるが,図8は,例として,図1に示すステート  $S_{33}$ (レジスタの最下位8ビット)に対する結果を示す. 図8(a)はテンプレート攻撃による結果であり,縦軸は 式10に示す確率 $p(k_j|t)$ である. $p(k_j|t)$ は,256(=2<sup>8</sup>) 通りの鍵候補に対応して256種類計算される.図中で は,その全てを重ねて表示しており,正しい推定のみを 黒,その他を灰色で示している.一方,図8(b)はCPA による結果である.縦軸は,ピアソンの相関係数の値 である.図8(b)と同様に,正しい推定を黒,その他を 灰色として,重ねて表示している.

図 8(a) より, 正しい推定による確率 p(k<sub>j</sub>|t) が, 波



図 7: 実験 (a) 実験環境の概観 (b) 環境環境のブロック図

| Experimental FPGA Board (SASEBO) |                        |
|----------------------------------|------------------------|
| FPGA                             | Virtex-II Pro xc2vp7   |
| Experimental Setup               |                        |
| Digital Oscilloscope             | Agilent MSO6104A       |
| Sampling Frequency               | 1GSa/s                 |
| Probe                            | Coaxial cable (50-Ohm) |
| Stabilized power supply          | 3.3V                   |
| Crystal oscillator               | 24-MHz                 |
| Measuring point                  | Resistor(1-Ohm)        |

#### 表 1: 計測条件

形数の増加とともに、1 へ漸近する様子が観察される. また、おのおのの  $p(k_j|t)$  が波形数に応じて変化する様 子を図 9 に示す.縦軸軸は  $p(k_j|t)$ ,横軸は  $k_j$ である. これに伴い、誤った推定による確率はゼロに収束している.これは、テンプレート攻撃が成功し、鍵が抽出 されたことを表す.同様に、図 8(b)でも、使用する波 形数の増加に伴い、正しい推定による相関値と、その 他による相関値が分離しており、攻撃が成功したこと が分かる.

このように,図8(a)と(b)の両方とも,黒線で表示した正しい推定による値がその他と比較して高くなったとき鍵の推定に成功したと判断できる.そのため,黒線がその他の灰色の線とクロスする点(MTD: Measurement to Disclosure)により攻撃能力を評価できる.それぞれのMTDを比較すると,テンプレート攻撃で580,CPAで2700となる.この結果は,テンプレート攻撃がCPAと比較して少ない波形で攻撃に成功したことを示している.

上述の通り,図8は,128ビット鍵のうち,8ビット のみの結果である.全て(16(=128/8)個)の部分鍵の 推定に対する結果を図10に示す.ここで,横軸は図8 と同様に解析に用いた波形数であり,縦軸は16個の部 分鍵のうち,推定に失敗したバイト数(エラーレート) である.そのため,少ない波形数で,エラーレートが 小さいほど,鍵の推定が速く,攻撃能力が高いといえ る.図10より,テンプレート攻撃のエラーレートは, 常に CPA の結果よりも低いことが分かる.また,全 16 個の部分鍵を正しく推定するために,テンプレート 攻撃では2400波形が必要であったのに対し,CPAで は5,000波形を用いても不十分であった.このように, 鍵推定全体の結果からも,提案するテンプレート攻撃 の攻撃能力の高さを確認できる.

#### 4.4 プロファイリングに関する考察

前節の結果より、ハードウェア実装した暗号モジュー ルについても、テンプレート攻撃が可能であることが 示された、以下では、テンプレート攻撃のプロファイ リングについて考察する、

前節の解析では,(i) テンプレートの作成に使用する 波形数,および(ii)*interesting points*を,経験的に決 定していた(波形数 200,000 および *interesting points* 5 点).多くの文献[13,15]でも同様に,これらのパラ メータを経験的に決定している.以降では,この2点 のパラメータを変更した際の,鍵推定の精度への影響 について検討する.

## 4.4.1 プロファイリングに用いた波形数の影響

プロファイリングに用いる波形数を変化させ,攻撃の結果への影響を比較した.このために,プロファイリングフェーズで使った波形数を1,000,5,000,10,000,20,000,60,000と段階的に変化させ,それぞれの波形数でテンプレート攻撃を行った.なお,この際,interesting points は5点とした.



図 8: 実験結果 (a) テンプレート攻撃, (b)CPA 攻撃

結果をエラーレートで表示したものを図 11 に示す. 図 11 より,プロファイリングに使う波形が少ない場合, 攻撃の成功率が低下することが分かる.ただし,波形 数は 10,000 個以上あれば,ほぼ同等の結果が得られる ことが分かる.この結果より,テンプレート攻撃によ る利点を得るには,十分な数の波形数を用意する必要 があることが分かる.なお,参照モジュールを所持する 攻撃者であれば,本実験と同様な手法により,使用し た波形数が十分かどうかを確認することが可能である.

#### 4.4.2 *interesting points* 数による影響

テンプレートの作成に用いる interesting points の数 を段階的に変化させ,攻撃結果への影響を調査した.第 3章で述べた方法で $\varphi_t$ を求め,その上位5,15,25,35, 45,55 点を interesting points とした.一方,プロファ イリングに使う波形数は150,000 とした.図12 に解析 結果を示す.その結果,35 点までは点数を増やすほど 結果が改善することが分かる.一方,点数をそれ以上 増加た場合,逆に解析精度が低下することが分かる.こ れは,点数を増やすことで, $\varphi$ が低い点がテンプレー



図 9: 攻撃フェーズで用いた波形数毎のテンプレート攻 撃の結果 (a)10 波形 (b)100 波形 (c)600 波形 (d)1000 波形

トに含まれ,これがノイズとなり,結果としてテンプ レートの品質が低下するためであると考えられる.

# 5. むすび

本稿では,並列性の高いハードウェア実装に対しても 適用可能なテンプレート攻撃を提案した.提案手法は, 従来のテンプレート攻撃と比べて波形数は必要となる が,テンプレート数と共分散行列サイズの大幅な削減



図 10: エラーレート



図 11: プロファイリングに用いた波形毎のエラーレート

が可能であり, 鍵長と同一のデータパスをもつ暗号回路に対しても現実的な時間で計算が可能となる.本稿では, その有効性を評価するため, AES回路のFPGA実装に対する攻撃実験を示した.その結果,提案手法により全ての部分鍵の推定に成功した.また, CPA攻撃と比較したところ,より少ない波形数で攻撃に成功することを確認した.さらに,波形数およびテンプレート点数の評価から,攻撃に成功する条件を考察した.

今後はテンプレート攻撃に対する対策法を開発する とともに,その対策を施した実装に対する攻撃実験を 実施する.また,ASIC実装に対する有効性も合わせて 評価する予定である.

## 参考文献

- P. Kocher, J. Jaffe, and B. Jun. Differential power analysis. *Lecture Notes in Computer Science*, Vol. 1666, pp. 388–397, August 1999.
- [2] K. Gandolfi, C. Mourtel, and F. Olivier. Electromagnetic analysis: Concrete results. *Lecture Notes* in *Computer Science*, Vol. 2162, pp. 251–261, May 2001.



図 12: interesting points 数毎のエラーレート

- [3] E. Brier, C. Clavier, and F. Olivier. Correlation power analysis with a leakage model. *Lecture Notes* in Computer Science, Vol. 3156, pp. 135–152, 2004.
- [4] D. Agrawal, J. R. Rao, P. Rohatgi, and K. Schramm. Templates as master keys. *Lecture Notes in Computer Science*, Vol. 3659, pp. 15–29, 2005.
- [5] M. Medweb and E. Oswald. Template attacks on ECDSA. Workshop on Information Security Applications, pp. 14–27, 2008.
- [6] E. Oswald and S. Mangard. Template attacks on masking - resistance is futile. *Lecture Notes in Computer Science*, Vol. 4377, pp. 243–256, 2006.
- [7] E. Peeters, F.-X. Standaert, N. Donckers, and J.-J. Quisquater. Improved higher-order side-channel attacks with FPGA experiments. *Lecture Notes in Computer Science*, Vol. 3659, pp. 309–325, 2005.
- [8] C. Archambeau, E. Peeters, F.-X. Standaert, and J.-J. Quisquater. Template attacks in principal subspaces. *Lecture Notes in Computer Science*, Vol. 4249, pp. 1–14, 2006.
- [9] M. A. El Aaabid, S. Guilley, and P. Hoogvorst. Template attacks with a power model. *Cryptology ePrint Archive*, 2007. http://eprint.iacr.org/2007/443.pdf.
- [10] AIST Research Center for Informa-Side-channel Stan-Security. Attack tion Evaluation BOard (SASEBO). dard http://www.rcis.aist.go.jp/special/SASEBO/indexen.html.
- [11] S. Mangard, E. Oswald, and T. Popp. Power Analysis Attacks. Springer, 2006.
- [12] F.-X. Standaert, S. B. Ors, J.-J. Quisquater, and B. Preneel. Power analysis attacks against FPGA implementations of the DES. *Lecture Notes in Computer Science*, Vol. 3203, pp. 84–94, Aug 2004.
- [13] C. Rechberger and E. Oswald. Practical template attacks. *Lecture Notes in Computer Science*, Vol. 3325, pp. 440–456, 2005.
- [14] NIST. Advanced Encryption Standard (AES). Federal Information Processing Standards Publications, Vol. 197, , 2001. http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf.
- [15] T.-H. Le, C. Canovas, and J. Clediere. An overview of side channel analysis attacks. *Proceedings of the* 2008 ACM symposium on Information, computer and communications security, pp. 33–43, 2008.