| 講演名 | 2011-12-14 マスク対策AESに対する誤り暗号文を用いた故障感度解析 : CHES2011での発表のレビュー 李 陽, 太田 和夫, 崎山 一男, |
|---|---|
| PDFダウンロードページ |  PDFダウンロードページへ |
| 抄録(和) | CHES2010において,故障感度解析(FSA : Fault Sensitivity Analysis)と呼ばれる新たなサイドチャネル解析手法が提案された.FSAの本質は,故障誘発の強度と故障の発生の有無との関係を調べることにある.最初に提案されたFSA攻撃では,組み合わせ回路により生じる信号遅延量が内部信号値に依存することを利用し,128ビットのAES暗号の秘密鍵の取得に成功している.その後,以下の2つの点でFSA攻撃の発展が試みられ,CHES2011でその成果が発表された. 1) CHES2010で提案されたFSA攻撃をSASEBO-Rに搭載された様々なAES実装に適用すること. 2) FSA攻撃では利用しなかった誤り暗号文の値を解析することで,FSA攻撃をさらに強力にすること.本稿では1)の研究結果としてSASEBO-Rに搭載されている全てのAES実装で攻撃が可能であることを説明し,特に2)のFSA攻撃の発展攻撃について,その詳細を報告する.2)の手法を用いた結果,AES実装にデータ・マスキングを施した場合でも,誤り暗号文のあるバイト値の分布が,マスクされていないS-boxの入力の情報に依存していることが明らかとなった.このことを利用し,Masked-AND AES実装とAES-Threshold実装における秘密鍵のバイト間の差分値を取得することに成功した. |
| 抄録(英) | At CHES 2010, a novel side-channel analysis called fault sensitivity analysis (FSA) has been proposed. The essence of the FSA attack is the exploration of the relationship between the fault injection intensity and the occurrence of the faulty calculation. The originally proposed FSA attack is based on the dependency between the intermediate value and the delay timing for the combinational circuit, and can successfully recover the secret key of 128-bit AES. After that, the FSA attack has been improved from the following two directions, which have been presented at CHES 2011. 1) The break of all the AES cores for SASEBO-R by applying the FSA attack proposed at CHES 2010. 2) The enhancement of the FSA attack by additionally analyzing of the faulty ciphertext that have not been used in the original FSA attack. In this paper, the result of breaking all the AES cores on the SASEBO-R will be explained at first, and then the enhanced FSA attack using faulty ciphertext will be reported in detail especially. In 2), for the AES implementation with masking-based side-channel countermeasures, we successfully find the dependency between the unmasked S-box input and the distribution of the values for a byte of the faulty ciphertext. Based on this factor, we demonstrate how to successfully recover the difference between the secret key bytes for the Masked-AND AES implementation and the AES-Threshold on SASEBO-R. |
| キーワード(和) | サイドチャネル攻撃 / 故障感度解析 / AES / マスキング |
| キーワード(英) | Side-channel attacks / fault sensitivity analysis / AES / masking |
| 資料番号 | ISEC2011-66 |
| 発行日 |
| 研究会情報 | |
| 研究会 | ISEC |
|---|---|
| 開催期間 | 2011/12/7(から1日開催) |
| 開催地(和) | |
| 開催地(英) | |
| テーマ(和) | |
| テーマ(英) | |
| 委員長氏名(和) | |
| 委員長氏名(英) | |
| 副委員長氏名(和) | |
| 副委員長氏名(英) | |
| 幹事氏名(和) | |
| 幹事氏名(英) | |
| 幹事補佐氏名(和) | |
| 幹事補佐氏名(英) | |
| 講演論文情報詳細 | |
| 申込み研究会 | Information Security (ISEC) |
|---|---|
| 本文の言語 | JPN |
| タイトル(和) | マスク対策AESに対する誤り暗号文を用いた故障感度解析 : CHES2011での発表のレビュー |
| サブタイトル(和) | |
| タイトル(英) | Break Masked AES Implementations Using Fault Sensitivity and Faulty Ciphertext : Review of Presentation at CHES2011 |
| サブタイトル(和) | |
| キーワード(1)(和/英) | サイドチャネル攻撃 / Side-channel attacks |
| キーワード(2)(和/英) | 故障感度解析 / fault sensitivity analysis |
| キーワード(3)(和/英) | AES / AES |
| キーワード(4)(和/英) | マスキング / masking |
| 第 1 著者 氏名(和/英) | 李 陽 / Yang LI |
| 第 1 著者 所属(和/英) | 電気通信大学情報理工学研究科総合情報学専攻 Department of Informatics, The University of Electro-Communications |
| 第 2 著者 氏名(和/英) | 太田 和夫 / Kazuo OHTA |
| 第 2 著者 所属(和/英) | 電気通信大学情報理工学研究科総合情報学専攻 Department of Informatics, The University of Electro-Communications |
| 第 3 著者 氏名(和/英) | 崎山 一男 / Kazuo SAKIYAMA |
| 第 3 著者 所属(和/英) | 電気通信大学情報理工学研究科総合情報学専攻 Department of Informatics, The University of Electro-Communications |
| 発表年月日 | 2011-12-14 |
| 資料番号 | ISEC2011-66 |
| 巻番号(vol) | vol.111 |
| 号番号(no) | 337 |
| ページ範囲 | pp.- |
| ページ数 | 24 |
| 発行日 | |