米国標準技術研究所(NIST)によって公開されたセキュア・ハッシュアルゴリズムは、暗号に基づくセキュリティレベルを強化するために進化を続けています。最新版の「SHA-3」は、NISTで規定された以前のハッシュアルゴリズムに比べて新しい内部演算構造を備え、既知の脆弱性にも対処しています。

組み込みシステムがよりスマート化し、さらなる接続性が必要になるにつれて、組み込みシステムを攻撃から保護することは、これまで以上に重要となります。SHA-3はとても役立ちますが、暗号の知識を持たなければ、暗号ハッシュ関数の実装は容易ではありません。このレポートでは、SHA-3の利点について説明し、暗号の専門知識を持たない場合でも、SHA-3アルゴリズムと物理的複製防止機能(PUF:Physically Unclonable Function)技術を用いて設計されたセキュア認証用ICによって、いかに強力な組み込みセキュリティを実現することができるのか詳しく説明します。

はじめに:組み込みシステムの保護

2018年、ハッカーがカジノのロビーに設置された水槽の無防備にネットワーク接続された水温計を利用して、どのようにネットワークに侵入し、データを盗み取ったかを説明するレポートが公表されました1)。この事例は、適切な保護のない組み込みシステムがどれほど脆弱なものとなり得るかを改めて浮き彫りにしています。

ハッカーたちは組み込みシステムにセキュリティを実装するICに対して、攻撃の手法を絶え間なく高度化させています。マイクロプロービング、集束イオンビーム(FIB)、リバースエンジニアリングなどは、ハッカーのさまざまな攻撃手段の中で侵襲攻撃手法のほんの一例にすぎません。そのため、汎用マイクロコントローラのソフトウェアに実装されたセキュリティが破られ、迂回される危険性が高くなります。たとえば、暗号はソフトウェアに実装することが比較的簡単に安価で実現できるかもしれませんが、ハッカーなら僅かな費用でファームウェアを抽出して暗号鍵を取得するでしょう。

ハードウェアベースの組み込みセキュリティICはより強力なレベルの保護を提供しますが、これらの製品でさえ、サイバー犯罪者の先を行くためには進化し続ける必要があります。そうした進化の一例は、最新世代の暗号アルゴリズムであるSHA-3暗号ハッシュ関数とPUF技術による保護の組み合わせです。PUFとSHA-3暗号ハッシュ関数の組み合わせは、偽造を防止し、最終製品のライフサイクルを安全に管理し、センサーやツールの完全な動作パラメータを保存および保証し、サブシステムの機能を有効化/無効化し、組み込みシステムを侵襲攻撃から保護するための強力な手段となります。次の項では、これら両方の技術について説明します。

SHA-3:堅牢なチャレンジ&レスポンス認証

暗号ハッシュアルゴリズムは、入力デジタルメッセージを短いメッセージダイジェストに変換し、デジタル署名や他のセキュリティアプリケーションで使用できるようにします。元のメッセージが1ビットでも変更されると、ダイジェストの値は大幅に変化します。これは雪崩効果と呼ばれています。これにより、元のメッセージに加えられた偶発的または意図的に加えられた変更を簡単に検出できます。暗号ハッシュアルゴリズムには、その他にも次のような特性があります。(1)一方向関数であるため、出力値から入力値を取得することは不可能です。(2)複数の入力メッセージから同一のダイジェスト出力が生成される確率(暗号技術者が「衝突」と呼ぶ現象)はほぼゼロです2、3)。暗号技術者は結局、SHAの最初のバージョンであるSHA-1の衝突を見つけることで脆弱性を発見しました。その時までに、NISTはSHA-2を承認しており、SHA-2もSHA-1と同様の数学的実装が使用されていますが、SHA-2は依然としてNISTの承認を受けたアルゴリズムであり、SHA-1に比べて優れた保護を提供します4)

NISTが2015年8月5日に公表したSHA-3は、スポンジ構造を利用した構造で構成されたKECCAK暗号関数に基づいています5)。スポンジ構造とは、任意の長さの入力ビットストリームを取得(吸収)し、任意の望ましい長さの出力ビットストリームを生成(搾出)するアルゴリズムの一種です。スポンジ関数を使用すると、暗号ハッシュ、メッセージ認証コード、その他の暗号プリミティブをモデル化または実装することができます。KECCAK関数は、ハッシュアルゴリズムの状態メモリ6)を変換する複雑なマルチラウンドf置換により、強力であると考えられています。

SHA-3は、NISTが公開コンペおよび審査プロセスを経て採用した最初の暗号ハッシュアルゴリズムです。NISTは、以下の点について各候補をコンペで評価した後、KECCAKアルゴリズムをSHA-3規格の基盤として選択しました。

  • パフォーマンスレベル (実装は問わない)
  • 大きな安全率を維持しながら既知の攻撃に耐える能力
  • 暗号解析に耐える能力
  • コードの多様性7)

SHA-3のもう1つの利点は、シリコン実装効率が挙げられます。これにより、他のアルゴリズムと比べてコスト効率に優れ、組み込みサブシステム、センサー、民生用電子機器などのセキュリティ保護に最適です8)

PUF技術が侵襲攻撃から保護

PUF技術のセキュリティ上の利点は、この技術がICの複雑に変動する物理的および電気的特性から導かれるという事実に基づいています。PUFは、ICの製造工程で生じる予測不可能かつ制御不可能な、ランダムな物理的要因に依存するため、複製や模造の作成は事実上不可能です。PUF技術は、関係するICのデジタル指紋を自然に生成します。このデジタル指紋は、認証、ID、偽造防止、ハードウェア-ソフトウェアの結合、および暗号化/復号化のアルゴリズムをサポートするための固有の鍵または秘密鍵として使用することができます。

PUFの実装方法はベンダーによって異なります。Maximの手法では、個々のPUF回路によって生成される固有のバイナリ値が温度および動作電圧範囲にわたって、またデバイスを長期間使用しても再現可能であることを保証します。「ChipDNA技術」と呼ばれるMaximのPUF回路は、基本的なMOSFETデバイスで自然に生じるランダムなアナログ特性を用いて暗号鍵を生成します。このPUFの実装は、必要な時のみPUF回路が固有のバイナリ値を生成して、チップのどこにも保存することがないので、高レベルのセキュリティを提供します。したがって、ICに侵襲して秘密鍵を発見しようとしても無駄です。さらに、ChipDNA技術を内蔵したデバイスが攻撃を受けた場合、その攻撃自体がPUF回路の電気的特性を変化させるので、侵入をさらに妨げることになります。

暗号技術の専門知識なしで強固なセキュリティを実現

暗号技術のバックグラウンドを持たない人(組み込みシステム設計の世界では珍しくありません)にとって、ハッシュ関数と対称鍵に基づいた認証の実装には、ある程度の複雑さが伴います。SHA-3の機能とPUF技術を内蔵した組み込みセキュリティICを使用することで、課題が緩和されて、暗号の専門知識がなくても強固な組み込みセキュリティを実現することができます。

Maximの最新セキュア認証用ICは、SHA3-256暗号エンジンを内蔵した業界初のデバイスです。この「DS28E50 DeepCoverセキュア認証用IC」は、ChipDNA PUF技術も搭載しています。このようなセキュリティ機能を組み合わせたデバイスを組み込みシステムに統合すれば、偽造、アフターマーケットにおける複製、不正使用、侵襲攻撃を防止することができます。単一接点の1-Wireバスは、エンドアプリケーションとの通信を簡素化します。DS28E50はコプロセッサとともに使用することが可能で、これによりシステムのホストプロセッサはSHA-3アルゴリズムを実行するための負荷が軽減されて、システム鍵を安全に保存することができます。Maximはコプロセッサを使用しない実装向けに、これらの機能を処理するために設計に統合できるソフトウェアを提供しています。DS28E50は、TDFNパッケージ(3mm×3mm)で提供されます。機能ブロック図については図1を参照してください。

  • Maxim

    図1:DS28E50の機能ブロック図

セキュア認証用ICのアプリケーション例

偽造防止、複製防止、使用管理の機能に加えて、セキュア認証用ICには他にもさまざまなアプリケーションがあります。たとえば、エンドユーザー向け機能アップグレードの保護、サードパーティベンダーの管理、セキュアブート/ソフトウェアアップデートに使用することができます。これらのアプリケーションでは、双方向認証、安全なメモリ、暗号化されたシステムデータストレージ、安全な使用回数管理、システムセッション鍵の生成、安全なGPIO制御、NIST準拠の乱数、公開鍵または秘密鍵アルゴリズムの統合などに使用することが可能です。

セキュア認証用ICは、さまざまな使用例がありますので、その価値を示すためにいくつかの例を取り上げます。

  • Maxim

    図2:電気外科アプリケーション

図2に示した電気外科アプリケーションでは、その医療機器が本物であり、規定された制限を超えて使用されておらず、不正な方法で使用されていないことを確認することが重要です。セキュア認証用ICを利用すれば、デバイスメーカーは、暗号技術に基づいて医療機器のセンサーが本物であることを証明し、使用制限の管理を適用し、また医療機器が意図した通りに使用されていることを確認することができます。

  • Maxim

    図3:3Dプリンタカートリッジの認証

プリンタカートリッジが複製されると正規メーカーには打撃となり、品質が損なわれた場合は消費者も損害を被る可能性があります。図3に示すように、3Dプリンタとその付属カートリッジに組み込まれたセキュア認証用ICは、SHA-3のチャレンジ&レスポンス方式によって真正性を確認し、偽造や不正コピーからIPを保護することができます。

  • Maxim

    図4:セキュアブート/ダウンロード

図4に示すように、セキュア認証用ICは、セキュアブートやデータファイルのセキュアダウンロードに使用することができます。署名を検証して、ホストとリモートデバイス間で共有されたデータが有効であることを確認した上で実行を開始します(または、署名が無効であればリセットまたはシャットダウンを行います)。

まとめ

医療用消耗品、産業用、民生用、その他さまざまなアプリケーションのいずれであっても、サイバー犯罪者のますます高度化するハッキング技術に対して組み込みシステムが脆弱であることに変わりはありません。組み込みセキュリティICは、それらの製品を偽造、複製、不正使用、侵襲攻撃などのセキュリティ脅威から保護することができます。これらのデバイスの多くは、暗号の専門知識を持たなくても組み込むことが可能であり、設計者は中核となる分野に集中することができます。セキュリティ攻撃を根本から防止することにより、あらゆる製品の成功にとって不可欠となる消費者の信頼を築くことができます。

出典

1:https://www.businessinsider.in/hackers-stole-a-casinos-high-roller-database-through-a-thermometer-in-the-lobby-fish-tank/articleshow/63769685.cms
2:https://www.cryptocompare.com/coins/guides/how-does-a-hashing-algorithm-work/
3:https://en.wikipedia.org/wiki/Cryptographichashfunction
4:https://www.csoonline.com/article/3256088/hacking/why-arent-we-using-sha3.html
5:https://keccak.team/sponge_duplex.html
6:https://en.wikipedia.org/wiki/Sponge_function
7:http://www.drdobbs.com/security/keccak-the-new-sha-3-encryption-standard/240154037
8:https://www.nist.gov/news-events/news/2015/08/nist-releases-sha-3-cryptographic-hash-standard

著者プロフィール

Scott Jones
Maxim Integrated
エンベデッドセキュリティ担当マネージングディレクター

Scott Jones
Maxim Integrated
シニアビジネスマネージャー

Nathan Sharp
Maxim Integrated
シニアビジネスマネージャー