TOP > 研究成果 > SASEBO個体差調査報告

SASEBO個体差調査報告

横浜国立大学 大学院環境情報研究院 松本研究室のハードウェアセキュリティチームでは，2007年の夏から秋にかけて，サイドチャネル攻撃用標準評価ボード[注1]の初代SASEBOボード（最初に製造された80枚全部）について，電力解析攻撃実験の可否と，特に個体差の有無を確認するための調査を行いました．

[注1] サイドチャネル攻撃用標準評価ボード SASEBO（Side-channel Attack Standard Evaluation BOard）は，経済産業省の委託事業の中で産業技術総合研究所 情報セキュリティ研究センターと東北大学が開発した電力解析攻撃の実験用FPGAボードである．

第1群の測定内容

8月末に配布予定の30枚を第1群として，２日間でオシロ２台を活用して集中的に測定を行いました．このときの測定条件と分析結果は，コンピュータセキュリティシンポジウム2007（CSS2007）にて発表しています．

• 測定期間：2007年8月4日(土)～5日(日)
• 実施場所：横浜国立大学 総合研究棟S205（暗号と情報セキュリティ実験室）
• 測定対象：SASEBO 30枚（G06～G25，G31～G40）
• 項目：
  1. (OSR01号機) SASEBOの測定用FPGAにAES-11(AESの11クロック実装)を搭載してVCC側シャント抵抗端，GND側シャント抵抗端の電圧変動を測定する．
  2. (OSR02号機) SASEBOの測定用FPGAにAES-10(AESの10クロック実装)を搭載してVCC側シャント抵抗端，GND側シャント抵抗端の電圧変動を測定する．
• サセボの設定：AES-11,AES-10など，詳細はCSS2007予稿を参照．
• オシロの設定：
  • 垂直軸：
    • CH1(黄): DC1M 1.00V/div -3.00V ofst ・・・トリガー用
    • CH2(赤): DC1M 50.0mV/div -1.50V ofst ・・・GND側
    • CH3(青): DC1M 50.0mV/div -100mV ofst ・・・VCC側
  • 水平軸：
    • Time/Division: 1 us/div (10usをカバー)
    • Sampling Rate：5GS/s
• 資料：
  • 2007/08/27，調査結果概要・・・個体差調査の経過報告（シャント抵抗の影響）
  • 2007/09/20，シャント抵抗・・・各ボードに搭載されているシャント抵抗(A or B)の表
• 参考：
  • (CSS2007予稿) 高橋芳夫，鳥越　慎，石和田大気，渡部良太，松本　勉，“電力解析攻撃実験用ボードの個体差評価について, ”情報処理学会 第10回コンピュータセキュリティシンポジウム2007 (CSS2007), 2D-3, 2007年.

第2群の測定内容

残り50枚を第2群として，空き時間を見つけて測定を進めました．オシロは１台を使用し，シャント用抵抗の差異に影響されないように，別途用意した1本の抵抗に差し換えて測定しました．

• 測定期間：2007年9月18日(火)～10月3日(水)
• 実施場所：横浜国立大学 総合研究棟S205（暗号と情報セキュリティ実験室）
• 測定対象：SASEBO 50枚（G01～G05,G26～G30,G41～G80）
• 項目：
  1. (OSR02号機) SASEBOの測定用FPGAにAES-11，AES-10の2種類のAES実装を搭載してGND側シャント抵抗端の電圧変動を測定する．
• サセボの設定：第1群との差異は，a)シャント抵抗(R14)に別途用意した1.5Ωの抵抗に差換えて測定．b)VCC側のペグ(JP3)をショート．
• オシロの設定：第1群との差異は，CH2は未使用．CH1とCH3はレンジを変更．
  • 垂直軸：
    • CH1(黄): DC1M 2.00V/div 4.00V ofst
    • CH3(青): DC1M 20.0mV/div -80mV ofst
  • 水平軸：変更なし．
• 資料：
  • 2007/10/11，調査結果概要・・・個体差調査の経過報告２（CPAのグラフ等）
  • 2008/07/29，室温変動の影響・・・測定データから見える室温変動の影響

波形データ

各々の測定項目/測定ポイントについて，第1群では約4000個，第2群では5000個余の波形を収集しました．このデータを以下に公開します．

• 第1群の波形データ：（準備中）
  • AES-11, VCC側の測定データ
    • G06 G07 G08 G09 G10 G11 G12 G13 G14 G15
    • G16 G17 G18 G19 G20 G21 G22 G23 G24 G25
    • G31 G32 G33 G34 G35 G36 G37 G38 G39 G40
  • AES-11, GND側の測定データ
    • G06 G07 G08 G09 G10 G11 G12 G13 G14 G15
    • G16 G17 G18 G19 G20 G21 G22 G23 G24 G25
    • G31 G32 G33 G34 G35 G36 G37 G38 G39 G40
  • AES-10, VCC側の測定データ
    • G06 G07 G08 G09 G10 G11 G12 G13 G14 G15
    • G16 G17 G18 G19 G20 G21 G22 G23 G24 G25
    • G31 G32 G33 G34 G35 G36 G37 G38 G39 G40
  • AES-10, GND側の測定データ
    • G06 G07 G08 G09 G10 G11 G12 G13 G14 G15
    • G16 G17 G18 G19 G20 G21 G22 G23 G24 G25
    • G31 G32 G33 G34 G35 G36 G37 G38 G39 G40
• 第2群の波形データ：（一部公開）
  • AES-11, GND側の測定データ
    • G01(M, T) G02 G03 G04 G05 G26 G27 G28 G29 G30
    • G31 G32 G33 G34 G35 G36 G37 G38 G39 G40
    • G41 G42 G43 G44 G45 G46 G47 G48 G49 G50
    • G51 G52 G53 G54 G55 G56 G57 G58 G59 G60
    • G61 G62 G63 G64 G65 G66 G67 G68 G39 G40
  • AES-10, GND側の測定データ
    • G01 G02 G03 G04 G05 G26 G27 G28 G29 G30
    • G31 G32 G33 G34 G35 G36 G37 G38 G39 G40
    • G41 G42 G43 G44 G45 G46 G47 G48 G49 G50
    • G51 G52 G53 G54 G55 G56 G57 G58 G59 G60
    • G61 G62 G63 G64 G65 G66 G67 G68 G39 G40

1波形は5GSample/secで収集された50kサンプルからなり，10μsecの時間に相当します．1サンプルは8bit長で，オフセット定数とゲインを乗じて測定値（単位V）に変換してあります．

1波形を1ファイルにして，これと平文/暗号文を収めたファイルとをまとめて，ZIPファイルにしました．ZIPファイルのサイズは200～250MByte程です．ZIPファイルの名前とその中味は，下記のとおり：

ZIPファイル名： Gbb_AESgg_ppp_W_fff.zip
格納ファイル ： fff/AESgg/Gbb/ppp/W_nnnnnn.fff と fff/AESgg/CTgg.txt

例：
G01_AES11_GND_W_MAT.zip には，
MAT/AES11/G01/GND/W_000001.mat
MAT/AES11/G01/GND/W_000002.mat
：
MAT/AES11/G01/GND/W_005120.mat
と
MAT/AES11/CT11.txt が含まれる．

　　

Gbb の 'bb' は，2桁の数字が入り，ボード番号を示します． AESgg の 'gg' には，11 か 10 が入り，AES-11 か AES-10 かを示します． 'ppp' は，測定ポイントで，VCC か GND が入ります． W_nnnnnn.fff は波形データを収めたファイルで，'nnnnnn' は6桁の数字が入り，平文/暗号文へのインデックスになります．'fff' には mat/txt が入り，MATLAB形式/テキスト形式を示します（ファイル形式の3種類は，今後見直して行き，どれか一つにする予定です）．

MATLAB形式のファイルは，matlabのload命令でロードすると変数名 'w' でdouble型，要素数50kの配列になります．

CTgg.txt はAESの平文/暗号文を収めたテキストファイルで，CT11.txt と CT10.txt の2つがあります．CTgg.txt の中にはスペースで区切られた3カラムがあり，左端が波形のファイルのインデックスに対応する nnnnnn，中が平文，右端が暗号文です．平文と暗号文は16進数32桁で16バイトを表します．秘密鍵の値は開示しませんので各自DPAして求めて下 さい．

注意：インデックス nnnnnn は，一見連続していますが，通番ではありません．ボードによってはスキップしていることがあります．

波形データの利用

本波形データは以下の条件の下で自由にコピー・加工して利用して頂いて構いません．

1. 本データを利用して何かしらの成果を公開される際には，データの出処（横浜国立大学 大学院環境情報研究院 松本研究室 サセボ個体差調査データ）を表示すること．

本波形データを使って電力差分解析攻撃（Differential Power Analysis，DPA）や電力相関解析攻撃（Correlation Power Analysis，CPA）の実験ができることを確認してあります．新しい解析アルゴリズムの検証などに本データを利用する等により，サイドチャネルセ キュリティの研究が活発になることに役立てることを期待します．

分析ツールとその手引き

• （準備中）

関係先へのリンク

• 産業技術総合研究所 情報セキュリティ研究センター
  • サイドチャネル攻撃用標準評価ボード SASEBO --- 初代SASEBOボードに関する資料
• 東北大学 青木研究室
  • Cryptographic Hardware Project - SASEBO --- SASEBOボードのFPGAに搭載できる暗号IP
• CRYPTREC
  • CRYPTREC報告書 --- CRYPTREC Report 2007 暗号モジュール委員会報告書．

本研究に関する問い合わせ先:

改版履歴：

2008.7.31 公開開始．

Copyright(c) 2008, YNU MLAB TRHチーム