サイドチャネル攻撃
[Wikipedia|▼Menu]
RSAキーのビットを電力解析でデコードする試み。左のピークは、乗算を使用しないアルゴリズム(英語版)のステップ中のCPU電力の変動を表しており、右の(幅の広い)ピークは乗算を使用するアルゴリズムのステップを表している。この差により、攻撃者はビットの0と1を読み取れる。

サイドチャネル攻撃(サイドチャネルこうげき、英語: side-channel attack)とは、コンピュータセキュリティの分野において、アルゴリズムの実装自体の弱さ(例:暗号そのものに対する解読ソフトウェアのバグ)ではなく、コンピュータシステムの実装から得られる情報を元にした暗号解読の攻撃のことである。タイミング情報、電力消費、電磁放射線のリーク、ときには音声(英語版)さえも、追加の情報源となって悪用される可能性がある。

サイドチャネル攻撃には、システムの内部操作に関する技術的な知識を必要とするものもあるが、差分電力解析(英語版)などはブラックボックス攻撃として効果的である。Microsoft Researchインディアナ大学の研究者によると、ブラウザとサーバー間の通信がHTTPSWiFi encryptionで暗号化されていても、Web 2.0アプリケーションとsoftware-as-a-serviceの興隆により、ウェブ上のサイドチャネル攻撃の可能性が大幅に高まった[1]。多くの強力なサイドチャネル攻撃は、Paul Kocher(英語版)によって開拓された統計的手法を元にしている[2]

正当なアクセス権を持つ人々を欺いたり強要したりして暗号システムを破壊しようとする試みは、通常、サイドチャネル攻撃とは見なされない。こうした手法については、ソーシャル・エンジニアリング締め上げ暗号分析を参照。
概要

暗号学では古来、暗号の強度について暗号の理論的なそれ自体の強度(学理的強度)だけではなく、その運用など広い範囲で「いんちきな方法で掠め取る」ような手法(たとえば通信の担当者を買収する)に対する強度も考慮の必要があった。暗号システムの「最も弱いリンク」は、暗号の理論の外側の搦め手の要素かもしれない、ということである。

コンピュータが利用される現代の暗号の攻撃法においても、既知平文攻撃選択暗号文攻撃などのように、平文暗号文にはアクセスできるが暗号処理はブラックボックスで行うものとしたものばかりではなく、何らかの方法で処理そのものを盗み見るなどといった手法も考慮する必要がある。もともと暗号に限らないより広い情報セキュリティの考え方として、情報の正規の出入口ではないチャネル(サイドチャネル)を利用した情報の漏洩についての研究があり(漏洩電磁波の記事なども参照[注釈 1])、それの現代的暗号学への応用である。たとえば、暗号機能付きのICカードなどのように攻撃者が処理時間や消費電力を精密に測定できる場合には、平文や暗号文だけではなく、これらのサイドチャネルから漏洩する情報も考慮することが必要である。

実際、GSMカードの中には、動作中の消費電力を測定することで秘密鍵を特定できるものがあることが指摘されている[3]

前述のように暗号学的にも情報セキュリティ的にも以前からある考え方だが、ICカードマネーなど社会的に重要な応用に密接に関連することからそういったシステムが一意に出回り始めた1990年代後半に研究発表が目立つようになり、2000年代にCRYPTRECNESSIEなどの暗号評価プロジェクトにより暗号方式のリストが作成された頃に「暗号方式が安全であっても暗号の実装が脆弱であると暗号を安全に利用することはできない」として、暗号分野の研究テーマの一つとして研究が盛んになった。
分類

具体的な攻撃方法としては、処理時間に注目したタイミング攻撃や、消費電力に注目した電力解析攻撃(power analysis attack)、装置から漏洩する電磁波(漏洩電磁波)に注目した電磁波解析攻撃などがある。

またこれらの研究の発達に対応するように、その動作を観測しても情報を推測不可能・困難なコンピュータハードウェアアーキテクチャの研究も行われている。
歴史
タイミング攻撃詳細は「タイミング攻撃」を参照

1995年12月7日にKocherがWEBで発表した[4]。WEBに掲載された文書は概要のみであったが、1995年12月11日にRSA社がChaumのブラインド署名方式[5]を利用して効果的に処理時間を隠す対処方法を説明している。1996年夏に、CRYPTOの発表で詳細が示された[6]
故障利用攻撃

1996年9月25日、BellcoreのWEBにて、BonehらによるICカードなどの耐タンパーデバイスに対する新たな攻撃法が公開された[7]RSAなどのような公開鍵暗号の処理中に計算誤りが発生すると、誤った出力と正しい出力を比較することで、秘密鍵を特定できる脅威があるため、暗号処理中のICカードに何かしらの物理的操作を行うことで意図的にエラーを発生させることで攻撃できる、というものである[7]

この攻撃では公開鍵暗号が対象であったが、1996年10月、BihamらはDESなどの共通鍵暗号の秘密鍵を攻撃できる方法を発表した[8][9]。これは、フォールト解析攻撃(Fault Analysis Attack)とも呼ばれる。
電力解析攻撃詳細は「電力解析攻撃」を参照

1998年、KocherらがWEBで発表した[10]。6月9日頃からニュース記事などで話題になった[11][12]

次ページ
記事の検索
おまかせリスト
▼オプションを表示
ブックマーク登録
mixiチェック!
Twitterに投稿
オプション/リンク一覧
話題のニュース
列車運行情報
暇つぶしWikipedia
Size:35 KB
出典: フリー百科事典『ウィキペディア(Wikipedia)
担当:undef