ICカードは,ICチップ中にCPUを内蔵しているもの(CPUカード)と 内蔵しないもの(メモリカード)とに大別され, 演算機能や判断機能を有するCPUカードがスマートカードと呼ばれる. このスマートカードでは暗号処理で用いる鍵のような秘密情報がICチップのメモリに記録され, それをCPUがアクセス制御することで,容易な読み出しを不可能とする 耐タンパー性が実現されている. そのためスマートカードは従来よりも安全性の高い クレジットカードや電子マネーの実現手段であり, 情報セキュリティのキーデバイスの一つとして期待が寄せられている.
ところが近年,故障利用解析,タイミング解析,電力解析などの 各種解析法が提案されたことにより, メモリ上の情報は読み出せないとする従来の考えが覆され, 情報セキュリティのキーデバイスとしてのスマートカードに対する 期待を崩しかねない状況にある.
本調査では, 学会を中心に発表されている攻撃の立場および防御の立場からの 解析法に関する研究を調査,整理し,解析法に対する対策をまとめる. これによって,スマートカードといえど万全なセキュリティを 保障し得るわけではないという状況を浮き彫りにし, 現存する脅威に対する注意を利用者へ促すと共に, これら解析法に対しても耐タンパー性を維持し得る スマートカード開発のための支援レポートとすることを目的としている.
本調査報告書は4部構成であり, それぞれの概要は以下の通りである.
またスマートカードの規格・標準として, 国際規格 ISO 7816,国内規格 JICSAP,および, 業界標準である EMV,全銀協,JavaCard Forum,Visa Open Platform,MULTOS, Smart Card for Windows,Open Card Framework,PC Smart Card (PC/SC) の計10規格について,それらの位置付け,ねらい,現状,相互関係を整理する.
これらの規格・仕様の主な相互関係は, まずスマートカードの物理的・機能的条件に関する国際規格ISO 7816をベースとして, その上に金融系スマートカードの国際標準EMV仕様が基本OSとして位置付けられる. さらに多目的スマートカード利用のOSとして, JavaCard,Visa Open Platform,MULTOSがEMVに準拠して制定されている. またスマートカードのPCでの利用を目的として制定された規格が, Smart Card for Windows,Open Card Framework,PC Smart Card (PC/SC) である.
まず破壊型解析法は,スマートカードおよびICチップに物理的変形を加える 攻撃法であり,チップ内部を直接観測できるという意味で 非常に強力な解析手法といえる. プロセッサの回路構成,メモリの内容,バス上のデータの読み取りや, 回路自体の改竄等が可能であり, 対策としては, チップ表面の加工,読み取り困難なメモリの採用,解析センサの採用等 が重要となる.
また代表的な破壊型解析法であるプローブ解析は, ICの内部バスに直接プローブを当ててレジスタのビット値を 観測することで秘密情報を得る解析法であり, このようなアクセスが可能でさえあれば, 実装されたほとんど全ての暗号方式を解析することができる. ただし攻撃の実行には デバイスと暗号方式に対する詳細な知識に加え, 技術的にも習熟度が要求されるため,攻撃の実現可能性は高いとは言えない. プローブ解析に対する耐タンパー技術としては, 周波数,電圧,温度検知回路などのICチップへの標準装備が 進められている.
次に非破壊型解析法は,攻撃者が人為的に引き起こした 計算誤りを利用する故障利用解析と, 設計者の予期しなかった情報(side-channel information)を利用する タイミング解析および電力解析とに分類される.
故障利用解析は,一過性の故障ないし他の機能に影響を与えない範囲の 限定的な障害をスマートカードに与え,攻撃者が意図した 異常な処理による出力と正常出力とを比較することで 秘密情報を推測する解析法である. 故障の発生には,放射線やレーザー照射,高電圧印加など専用の設備を必要とする. 故障利用解析の対策としてはプローブ解析への対策と同様なアプローチが有効であり, 例えば周波数,電圧,温度検知回路の搭載による 適正動作範囲外でのスマートカード使用の防止が重要である.
タイミング解析は,秘密情報に依存して暗号化の処理時間が異なる場合に 統計的解析を用いて秘密情報を推測する手法であり, 暗号アルゴリズム自体ではなく不注意な実装法に対する攻撃法である. 例えばデータのビット値が0か1かで処理に分岐が生じるような場合が タイミング解析の対象となる. 有効な対策としては,処理時間を一定化する実装アルゴリズムの採用, ランダムな遅延による処理時間のカムフラージュなどがある.
暗号処理中の消費電力を観測する電力解析は, 消費電力スペクトルに対して直接的(視覚的)な解析を行う単純電力解析と, 統計的手法を用いるより強力な電力差分解析とに大別される. 特に電力差分解析では,測定したスペクトルの平均をとって ノイズや測定誤差の影響を減らし,秘密情報に依存した 消費電力の変化のみを取り出すことで効率的な解析を行う. 電力解析に対する対策は,ハードウェアレベル, ソフトウェアレベルなど各設計レベルでとらえることができるが, 情報の外部への漏洩を削減することを目的としたハードウェアレベルよりも, ハードウェアからの情報のリークは不可避なものとの仮定に立った ソフトウェアおよびアルゴリズムレベルでの対策が 電力解析に対してより効果的とされる.
また現在改定作業が進められているFIPS 140-2について, 特に電力解析のような比較的新しい攻撃法に対する対応をまとめる. 電力解析に代表される強力な解析法が提案されたことを受けて, FIPS 140-2では電力解析,タイミング解析,故障利用解析等による攻撃の軽減という 新たなセキュリティ要件が規定され,これら解析法に対する注意を促している. しかしこれらの攻撃に対して決め手となるような対策は明示されておらず, 今後の技術開発動向に期待する形となっている.
以上述べてきたように,
近年提案された各種解析法はスマートカードに対する脅威であり,
それらを軽視することは許されない.
その一方で解析に対する対処法も多方面から議論・提案されつつあり,
有効な対策を施すことで解析法を万能にさせないことも可能になっている.
本調査で報告した解析法に対しても耐タンパー性を維持し得る
スマートカードの開発のため,
今後のさらなる技術開発が重要である.