連続してハッシュ値を出力しないHMAC-SHA-256回路へのスキャンベース攻撃手法

摘要

LSIのテスト容易化設計技術としてスキャンパステストがある．スキャンパステストはLSIのレジスタを直列に繋いだスキャンチェイン利用し，外部から回路内部のレジスタを観測や制御する手法である．スキャンチェインを用いるサイドチャネル攻撃としてスキャンース攻撃がある．これまでにブロック暗号，ストリーム暗号，公開鍵暗号を対象としたスキャンベース攻撃が提案されている．ハッシュ関数を用いてメッセージ認証する仕組みとしてHMACがある．ハッシュ関数を複数回適用するものでTLS等で採用されている．HMACでハッシュ関数にSHA-256を用いるものをHMAC-SHA-256と言う．我々はHMAC-SHA-256回路に対するスキャンベース攻撃を提案したが，HMAC内のSHA-256回路が連続してハッシュ値を出力する場合を仮定している．本稿では，SHA-256回路が連続してハッシュ値を出力しないHMAC-SHA-256回路に対するスキャンベース攻撃手法を提案する．提案手法は，入力メッセージから得られるスキャンデータから遷移グループの特定，SHA-256回路動作の初期位置の特定，ビット位置の特定，前半レジスタと後半レジスタの特定の4ステップを実行することで，スキャンデータとHMAC-SHA-256回路内のレジスタの対応関係を求め，秘密鍵を復元する．計算機実験から，HMAC-SHA-256回路とその他回路のレジスタがスキャンチェインに接続され，HMAC内のSHA-256回路が連続してハッシュ値を出力しない場合でも，提案手法により秘密鍵を復元できることを確認した．