情報セキュリティマネジメント試験 用語辞典

サイドチャネル攻撃【Side Channel Attack】
暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量(処理時間や消費電流など)やエラーメッセージから、機密情報を得たり攻撃対象の暗号鍵の推定等を行う「非破壊攻撃」での総称。
分野:
情報セキュリティ » サイバー攻撃手法
(シラバス外)
重要度:

(Wikipedia サイドチャネル攻撃より)

サイドチャネル攻撃(サイドチャネルこうげき、side-channel attack)とは、暗号装置の動作状況を様々な物理的手段で観察することにより、装置内部のセンシティブな情報を取得しようとする攻撃方法である。

概要

暗号学では古来、暗号の強度について暗号の理論的なそれ自体の強度(学理的強度)だけではなく、その運用など広い範囲で「いんちきな方法で掠め取る」ような手法(たとえば通信の担当者を買収する)に対する強度も考慮の必要があった。

コンピュータが利用される現代の暗号の攻撃法においても、既知平文攻撃や選択暗号文攻撃などのように、平文や暗号文にはアクセスできるが暗号処理はブラックボックスで行うものとしたものばかりではなく、何らかの方法で処理そのものを盗み見るなどといった手法も考慮する必要がある。もともと暗号に限らないより広い情報セキュリティの考え方として、情報の正規の出入口ではないチャネル(サイドチャネル)を利用した情報の漏洩についての研究があり、それの現代的暗号学への応用である。たとえば、暗号機能付きのICカードなどのように攻撃者が処理時間や消費電力を精密に測定できる場合には、平文や暗号文だけではなく、これらのサイドチャネルから漏洩する情報も考慮することが必要である。

実際、GSMカードの中には、動作中の消費電力を測定することで秘密鍵を特定できるものがあることが指摘されている([RRST02])。

前述のように暗号学的にも情報セキュリティ的にも以前からある考え方だが、ICカードマネーなど社会的に重要な応用に密接に関連することからそういったシステムが市井に出回り始めた1990年代後半に研究発表が目立つようになり、2000年代にCRYPTRECやNESSIEなどの暗号評価プロジェクトにより暗号方式のリストが作成された頃に「暗号方式が安全であっても暗号の実装が脆弱であると暗号を安全に利用することはできない」として、暗号分野の研究テーマの一つとして研究が盛んになった。

分類

具体的な攻撃方法としては、処理時間に注目したタイミング攻撃(en)や、消費電力に注目した電力解析攻撃(power analysis attack)、装置から漏洩する電磁波(漏洩電磁波)に注目した電磁波解析攻撃などがある。

またこれらの研究の発達に対応するように、その動作を観測しても情報を推測不可能・困難なコンピュータハードウェアやアーキテクチャの研究も行われている。

歴史

タイミング攻撃
1995年12月7日にKocherがWEBにて発表([K95])。WEBに掲載された文書は概要のみであったが、1995年12月11日にはRSA社がChaumのブラインド署名方式([C83])を利用して効果的に処理時間を隠す対処方法を説明している。1996年夏になって、CRYPTOにて[K96]の発表があり詳細が明確に示された。
故障利用攻撃
1996年9月25日、BellcoreのWEBにて、Boneh達によるICカードなどの耐タンパーデバイスに対する新たな攻撃法が公開された([BDL96])。RSAなどのような公開鍵暗号の処理中に計算誤りが発生すると、誤った出力と正しい出力を比較することで、秘密鍵を特定できる脅威があるため、暗号処理中のICカードに何かしらの物理的操作を行うことで意図的にエラーを発生させることで攻撃できる、というものである。[BDL96]では公開鍵暗号が対象であったが、1996年10月にBiham達によってDESなどの共通鍵暗号の秘密鍵を攻撃できる方法が発表された([BS96a,BS96b])。フォールト解析攻撃(Fault Analysis Attack)とも呼ばれる。
電力解析攻撃
1998年、Kocher達がWEBにて発表([KJJ98])。6月9日頃からニュース記事などで話題になった([K98],[S98])。それによるとICカードなどの暗号デバイスの消費電力はデバイスの処理内容と相関がある為、消費電力を測定して統計処理すると処理内容に関する情報(秘密鍵やPIN等)を取り出すことができるという。SPA/DPA/HO-DPAの3種類の攻撃が提案され、例としてDPAでDES秘密鍵を求めるアルゴリズムの概要が示されている。CRYPTO'98のランプセッションにて概要説明(6分)があった後、翌年のCRYPTOにて[KJJ99]が発表された。単純電力解析(Single Power Analysis:SPA)、差分電力解析(Differential Power Analysis:DPA)など。DPAは当初は共通鍵暗号向けの攻撃がメインではあるものの、MessergeらによりDES向けのデータやアドレスを用いた攻撃が1999年に提案([MDS99])された後に、公開鍵暗号向けのDPAとしてJoyeらにより内部データを用いる攻撃が2001年に提案([JT01])され、富士通研究所の伊藤らにより2002年にCHESにてレジスタのアドレスのみに注目した攻撃が提案された([IIT02]).[JT01],[IIT02]双方ともに楕円曲線暗号を論文中に使用している。
電磁波解析攻撃
2001年5月のCHESにて、Gandolfi達により、DESやRSA実行中に放射される電磁波を測定分析すると秘密鍵を特定できることが具体的に示された([GM01])。それ以前にはテンペストなど電磁波漏洩に関する対策([?])や、その脅威についての考察([QS00])はあったが、具体的部分は非公開であった。
キャッシュ攻撃
2002年10月のISITAにて、Tsunoo達により、キャッシュ付CPUでは、キャッシュヒットの有無によりメモリアクセス時間が異なることを利用すると、ブロック暗号に対してタイミング攻撃が可能であることが、具体的に示された([TTMM02])。
音響解析攻撃
2004年5月4日、EUROCRYPTのrump sessionにて、Tromer達により、計算機が動作中に発するノイズ(10〜50kHz)を分析すると処理内容がわかるという発表があった([ST04a])。LSI動作中の発熱等で物理的振動が発生してノイズとなり、このノイズにはCPUなどの動作状況について情報を豊富に含んでいるという。音に関しては、古くは機械式暗号の動作音やドットマトリクスプリンタの発する音を分析する攻撃、最近ではキー押下時に発する音を分析する攻撃([AA04])などもある。

出題例

サイドチャネル攻撃の説明はどれか。
  • 暗号アルゴリズムを実装した攻撃対象の物理デバイスから得られる物理量(処理時間や消費電流など)やエラーメッセージから,攻撃対象の機密情報を得る。
  • 企業などの機密情報を詐取するソーシャルエンジニアリングの手法の一つであり,不用意に捨てられた機密情報の印刷物をオフィスの紙ゴミから探し出す。
  • 通信を行う2者間に割り込んで,両者が交換する情報を自分のものとすり替えることによって,気付かれることなく盗聴する。
  • データベースを利用するWebサイトに入力パラメタとしてSQL文の断片を与えることによって,データベースを改ざんする。

正解

「サイバー攻撃手法」に属する用語
「情報セキュリティ」の他の分野
「セキュリティ」の他のカテゴリ

クリエイティブ・コモンズ・ライセンス

このページのWikipediaよりの記事は、ウィキペディアの「サイドチャネル攻撃」(改訂履歴)の記事を複製、再配布したものにあたり、このページ内の該当部分はクリエイティブ・コモンズ 表示 - 継承 3.0 非移植 ライセンスの下 に提供されています。

© 2015-2019 情報セキュリティマネジメント試験ドットコム All Rights Reserved.

Pagetop