スキャンシグネチャを用いたストリーム暗号Triviumへのスキャンベース攻撃手法

摘要

Triviumは同期式ストリーム暗号の1つで，ストリーム暗号評価プロジェクトeSTREAMにて推奨アルゴリズムに選定されたものである．3本のシフトレジスタから構成され，内部演算はビット同士のAND演算とXOR演算のみであり，構造が単純で高速に動作する．一方，暗号LSIに対するサイドチャネル攻撃の1つに，テスト用のスキャンチェインを利用して暗号解読するスキャンベース攻撃がある．Triviumへのスキャンベース攻撃は，スキャンチェインを用いて取得したスキャンデータから回路内部の状態を求め，求めた内部状態を元にキーストリームと平文を復元する．Triviumへのスキャンベース攻撃に対し従来手法では，暗号回路の内部レジスタのみがスキャンチェインに含まれていることが前提であり，周辺回路のレジスタがスキャンチェインに含まれている場合，スキャンチェインの内部構造を解析できない．一般に，LSIチップには暗号回路と共に複数の回路が同一スキャンチェインに含まれることが多く，従来手法を実際の攻撃手法として利用することは難しい．本稿では，スキャンチェインの構造に依存しないTriviumへのスキャンベース攻撃手法を提案する．提案手法では，1ビットレジスタ値の入力·動作サイクル数に対する変化がそのレジスタ固有の値になることを利用しTriviumの内部状態を復元する．計算機実験により，スキャンチェインに周辺回路が含まれる場合でも，提案手法を用いてTriviumの内部状態を復元し，平文を復元できることを確認した．