軽量暗号Gimli-AEADに対する深層学習を用いたサイドチャネル解析の検討

摘要

本稿では，軽量暗号Gimli-AEADに対するサイドチャネル解析について述べる．特にGimli-Initializationに対して，深層学習に基づくサイドチャネル解析（DL-SCA: Deep-Learning based Side-Channel Analysis）を適用した場合に，ラウンドごとに鍵値をどの程度明らかにできるかを示す．Gimliは非線形変換にGimli置換という独自の置換関数を用いており，1ラウンドあたりの非線形性はAESやPresentなどのブロック暗号と比べて非常に弱い．このように非線形性の弱い暗号に対するサイドチャネル解析の適用はこれまで困難とされている．本稿では，DL-SCAを用いてGimli-AEADの中間値を第1ラウンドから中間ラウンドにかけて段階的に推定する手法を提案する．提案手法により，ナンスの下位16bitのみが変化する想定においても，第6ラウンドまで順次解析を行うことでGimliの中間値全体を明らかにすることが可能であり，秘密情報を復元し得ることを示す．