三菱電機、LSIの個体差を鍵に使った暗号化技術を開発 23
ストーリー by hylom
バックドアの実装も難しかったりするのだろうか 部門より
バックドアの実装も難しかったりするのだろうか 部門より
あるAnonymous Coward 曰く、
三菱電機と立命館大学が、LSIの個体差から固有のIDを生成するセキュリティ技術を開発したとのこと(PC Watch)。
LSIの動作そのものが暗号のキーとなるため、LSIの内部に残留した情報からキーを読み取ることが不可能であり、解析が困難という特徴があるという。また固有IDの生成と秘匿、認証に係わる暗号機能に必要な回路を一部共有化することで、それぞれを個別に実装した場合と比べて3分の1のサイズに低減できるとしている。2015年度以降を目標として製品に適応するとしている。
時間とともに挙動が変わったりしないもんだろうか (スコア:3)
経年劣化や過負荷で微妙に挙動が変わったりしたら別個体と認証されたりしないだろうか。
それとも初回に一回だけIDを生成して以降は使わないんだろうか。
Re:時間とともに挙動が変わったりしないもんだろうか (スコア:3, 参考になる)
MOSトランジスタのVthバラツキに起因するタイミングのバラツキ(遅延バラツキ)を利用しているので経年変化などありません
(経年変化が無視できないなら、そもそも経年変化でLSIそのものが正常に動作しません)
通常の使用環境からかけ離れた低温/高温とかなら話は別かもしれませんが
イオン注入のバラツキによるVthバラツキをLSIの固体識別に用いるアイデアは昔からあります(製品に用いられたものもある)
もしかして既存の特許を回避するために捻って考え出したアイデア?
#通常の回路設計では忌避される(レジスタ無しの)ヒゲを出す組み合わせ回路をわざわざ組み込んでヒゲをカウントするとは........
Re:時間とともに挙動が変わったりしないもんだろうか (スコア:3)
単純にVthのばらつきを利用していたら、経年変化は無視できないですよ。
デジタル回路よりサイズの大きいオペアンプやコンパレータの入力オフセットも、経年変化まで保証している物は希です。
ざっとブロック図を見ただけですが、#2758259で指摘されているように、冗長性を持たせるんじゃないかと思います。
大きなビット幅で、大量のデータを処理できる構成なので、そこを利用するんじゃないかと。
回路の原理は昔からあるものですが、その辺りの実用化のための処理に新規要素があるのかもしれません。
Re: (スコア:0)
「固有ID」の作り方は分からないが、
システムとして用意されたユニークIDがあるのでは。
シリアルナンバーとか。
そうして作る「固有ID」が変化するほど劣化したら、CPUそのものが劣化してることだろう。
Re:時間とともに挙動が変わったりしないもんだろうか (スコア:2)
作り方は分からないが、じゃなくて「作り方を変えました」というニュースです。
ユニークIDがあるのでは、じゃなくて「ユニークIDは要りません」というニュースです。
ということがストーリのタイトルに書いてあります。本文ですらない。
Re: (スコア:0)
IDは回路各部の伝搬遅延値を並べてからハッシュして出すんだけど、
経年劣化でIDが変わらない程度に「粗い」ハッシュを使う。
Re: (スコア:0)
一回過熱して特性が変わった場合は、回路としては生きていても故障の扱いでよいと思います。
フラッシュメモリなどは使えば使うほどはっきり劣化しますが、普通のICはそうそう劣化したりしませんよ。
流石に使用温度範囲内の温度変化による特性の変化は何等かの補正を行っているのでしょう。
他の応用 (スコア:0)
ハードウェア乱数発生器のシードとして利用可能か?
Re:他の応用 (スコア:1)
乱数として使用する場合、実行するたびに異なる値が出ないとだめだけど、
IDとして利用するなら、実行するたびに同じ値が出ないとだめなので、
無理そうな気がします。
>記事
× 適応
○ 適用
svn-init() {
svnadmin create .svnrepo
svn checkout file://$PWD/.svnrepo .
}
Re: (スコア:0)
現在のIntelのIvyBridge以降にCPUに組み込まれてる乱数発生器は
乱数生成としてトランジスタのホワイトノイズを使ってたと思います
Re:他の応用 (スコア:2, 興味深い)
Intelの乱数回路はラッチのメタスタビリティだよ。
メタステーブルから安定状態への遷移になにが関与するかは良く判らないんじゃないかな。
ホワイトノイズかもしれないしサーマルノイズかもしれない
メタスタビリティを利用すれば真性乱数発生器をつくれるけど大抵の場合はトランジスタ特性のばらつきでどちらかに片寄る。
Re: (スコア:0)
大昔のパチンコ台やパチスロ台はRAMの電源投入時の初期値のばらつきを使って
通常台と良く当たるサービス台との切り替えをRAMの差し替えで実現していたとか。
まあ、これももう出てから10年ぐらいの技術だな (スコア:0)
PUFってやつですよ。
実用面では面白いですがね。
生体認証の半導体版ってイメージなんかな (スコア:0)
厳格な個体識別はできないのかもしれないけど、
「同じ回路である確率何%」
みたいな感じで、複製による電気的な成りすましはある程度防止できるのかもね。
Re: (スコア:0)
日本の学会的には、人工物メトリクスっていうジャンル名になっていますよ。
Re: (スコア:0)
その確率は少なくとも「LSIの内部に残留した情報からキーを読み取ること」ができる確率より低くなければ意味がありません。そうでなければ既存の方法より成りすましに弱くなってしまいます。
このことから逆算すると、なりすましは限りなく不可能に近いでしょう。攻撃者は間違いなくハードウェア的なアプローチを諦めます。
Re: (スコア:0)
なんとなく、行動認証の半導体版って感じがする。
変更不可 (スコア:0)
交換可能モジュールなエアいいけど
買い換えなきゃ変更不可な技術のような気が
今までより優れてないわけではないけれど
劣っていないわけではないような気が
# 売り込み側にとっては優れているんだろうけれど
Re:変更不可 (スコア:2)
これ何に使うんだろうってしばらく悩んだのですが、
例えばiPodを考えたとき、楽曲データをユーザーが取り出せないように保存したいわけじゃないですか。
その場合、フラッシュストレージに暗号化した状態で保存し、再生時に随時復号化することになります。
じゃあどう暗号化するかというと、今回の技術で作るようなIDから、例えばSHA256(LSI-ID, 楽曲ID)などで鍵を作り、
LSI/サーバー間で暗号路を作ってサーバーに送れば、サーバー側で暗号化した楽曲データを取ってこれるようになります。
これをそのまま保存すれば上記のようなことが実現出来るわけです。
みたいな使い方をするんじゃないでしょうか。
Re:変更不可 (スコア:2)
RNGのシードが固定なので、それをどう活かせるかというところがただのRNGと違うところ。
固定シードを設定したRNGと違うのは、鍵を細工したり、予測したり、変更したりできないところ。
Re:変更不可 (スコア:1)
鍵を変更したいときは、すなわちその鍵の信頼性が失われた時です。
今回は固有鍵を奪取することはほぼ不可能なので、攻撃方法はLSIの制御を乗っ取られ、任意の暗号文や電子署名が作成されてしまった場合に限定されます。
この場合、固有鍵を別の暗号鍵で暗号化すれば、その固有鍵を暗号化する暗号鍵を変更することで擬似的な変更を行うことが有効です。
これによって、任意の暗号文や電子署名が作成されてしまったとしても、固有鍵の暗号鍵を変更することでそれらを無効にできます。
Re: (スコア:0)
s/攻撃方法は/鍵の信頼性が失われる場合は/
Re: (スコア:0)
セキュリティ関係だと必ずユニークな鍵をどうやってチップ内に保持させるかという
問題が出てきますが、LSIはハンコを押して大量生産するようなものですから、
個々のLSIにユニークな鍵を作り込むのは結構面倒です。
出来たなりだけど適当にばらけた鍵が得られる今回の方式はいろいろ
使い道があるのではないでしょうか。
# 当然ながら、MACアドレスのように欠番が許されないものには使えない