ハッシュ関数構成法を考慮したHMACに対するサイドチャネル攻撃

摘要

鍵付きハッシュ関数のひとつとしてHMACがあり、広く用いられている。安全なハッシュ関数の構成方法のひとつとして、PGV構成法がある。 PGV構成法はブロック暗号に基づき圧縮関数を構成する手法で、ブロック暗号が理想的とすると、12個の圧縮関数が衝突耐性を有すると結論付けられている。 本稿では、それらの圧縮関数に対して、サイドチャネル攻撃の観点から安全性評価を行う。その結果、ブロック暗号がサイドチャネル攻撃に安全であったとしても、12個のうち11個の圧縮関数が脆弱であることを示す。 これらの脆弱圧縮関数は、その脆弱性により二つのグループに分けることができる。 第一のグループは8つの圧縮関数を含み、HMACに用いた場合、攻撃者は選択的偽造ができる。第二のグループは3つの圧縮関数を含み、圧縮関数内の演算順序が安全性にとって重要である。 間違った演算順序を選択した場合、攻撃者はHMACの鍵の一部を特定することができる。 これらの圧縮関数を用いたHMACは、実装安全性が必要とされる場面での使用は推奨されない。