特許ウォッチ

公開番号2025029969
公報種別公開特許公報(A)
公開日2025-03-07
出願番号2023134908
出願日2023-08-22
発明の名称安全性評価装置、安全性評価方法及びプログラム
出願人日本電信電話株式会社,国立大学法人東北大学
代理人弁理士法人ITOH,個人,個人,個人
主分類G06F 21/57 20130101AFI20250228BHJP(計算;計数)
要約【課題】デバイスのサイドチャネル攻撃耐性を高精度に評価できる技術を提供すること。
【解決手段】安全性評価装置は、jバイト目の平文と第1のデバイスから取得されたjバイト目のサイドチャネル情報との組で表される学習用データを入力する入力部と、第1のモデルと前記jバイト目のサイドチャネル情報とを用いて、前記jバイト目の潜在ベクトルを算出する潜在ベクトル算出部と、jバイト目の第2のモデルと前記jバイト目の潜在ベクトルとを用いて、前記jバイト目の平文の確率ベクトルを算出する確率ベクトル算出部と、前記jバイト目の平文と前記jバイト目の平文の確率ベクトルとの誤差を用いて、前記第1のモデルのパラメータと前記jバイト目の第2のモデルのパラメータとを学習する学習部と、平文と第2のデバイスから取得されたjバイト目のサイドチャネル情報との組で表される評価用データと学習済みの前記第1のモデルと学習済みの前記jバイト目の第2のモデルとを用いて、前記第2のデバイスの秘密鍵を予測する予測部と、を有する。
【選択図】図2
特許請求の範囲【請求項１】
デバイスのサイドチャネル攻撃に対する耐性を評価可能な安全性評価装置であって、
１≦ｊ≦Ｂ（ただし、Ｂは予め決められた１以上の整数）として、ｊバイト目の平文と、前記ｊバイト目の平文を入力したときの第１のデバイスから取得されたｊバイト目のサイドチャネル情報との組で表される学習用データを入力する入力部と、
サイドチャネル情報を潜在ベクトル空間に埋め込むための第１のモデルと、前記ｊバイト目のサイドチャネル情報とを用いて、前記ｊバイト目のサイドチャネル情報に対応する潜在ベクトルを算出する潜在ベクトル算出部と、
潜在ベクトルからｊバイト目の平文が取る値の確率ベクトルを算出するためのｊバイト目の第２のモデルと、前記ｊバイト目のサイドチャネル情報に対応する潜在ベクトルとを用いて、前記ｊバイト目の平文が取る値の確率ベクトルを算出する確率ベクトル算出部と、
前記ｊバイト目の平文と、前記ｊバイト目の平文が取る値の確率ベクトルとの誤差を用いて、前記第１のモデルのパラメータと、前記ｊバイト目の第２のモデルのパラメータとを学習する学習部と、
ｊバイト目の平文と、前記ｊバイト目の平文を入力したときの第２のデバイスから取得されたｊバイト目のサイドチャネル情報との組で表される評価用データと、学習済みの前記第１のモデルと、学習済みの前記ｊバイト目の第２のモデルとを用いて、前記第２のデバイスで暗号化に用いられる秘密鍵を予測する予測部と、
を有する安全性評価装置。
続きを表示（約 1,900 文字）【請求項２】
前記予測部は、
ｊ'バイト目の前記秘密鍵をブルートフォースにより算出し、
前記第２のデバイスから取得されたｊ（ｊ∈｛１，・・・，Ｂ｝＼｛ｊ'｝）バイト目のサイドチャネル情報から学習済みの前記第１のモデルにより前記ｊバイト目のサイドチャネル情報に対応する潜在ベクトルを算出し、
前記ｊバイト目のサイドチャネル情報に対応する潜在ベクトルから学習済みの前記ｊバイト目の第２のモデルにより前記ｊバイト目の平文が取る値の確率ベクトルを算出し、
ｊバイト目の平文と、前記ｊバイト目の平文が取る値の確率ベクトルとを用いて、ｊバイト目の前記秘密鍵とｊ'バイト目の前記秘密鍵との差分鍵を算出する、請求項１に記載の安全性評価装置。
【請求項３】
前記予測部は、
ｊバイト目の前記秘密鍵とｊ'バイト目の前記秘密鍵との差分鍵と、ｊ'バイト目の前記秘密鍵とを用いて、ｊバイト目の前記秘密鍵を算出する、請求項２に記載の安全性評価装置。
【請求項４】
前記予測部は、
前記ｊバイト目の平文が取る値の確率ベクトルの要素のうち、ｊバイト目の平文との排他的論理和の値に対応する要素の値の負の対数が最小となる１バイトの値をｊバイト目の前記秘密鍵として算出する、請求項２又は３に記載の安全性評価装置。
【請求項５】
デバイスのサイドチャネル攻撃に対する耐性を評価可能な安全性評価方法であって、
１≦ｊ≦Ｂ（ただし、Ｂは予め決められた１以上の整数）として、ｊバイト目の平文と、前記ｊバイト目の平文を入力したときの第１のデバイスから取得されたｊバイト目のサイドチャネル情報との組で表される学習用データを入力する入力手順と、
サイドチャネル情報を潜在ベクトル空間に埋め込むための第１のモデルと、前記ｊバイト目のサイドチャネル情報とを用いて、前記ｊバイト目のサイドチャネル情報に対応する潜在ベクトルを算出する潜在ベクトル算出手順と、
潜在ベクトルからｊバイト目の平文が取る値の確率ベクトルを算出するためのｊバイト目の第２のモデルと、前記ｊバイト目のサイドチャネル情報に対応する潜在ベクトルとを用いて、前記ｊバイト目の平文が取る値の確率ベクトルを算出する確率ベクトル算出手順と、
前記ｊバイト目の平文と、前記ｊバイト目の平文が取る値の確率ベクトルとの誤差を用いて、前記第１のモデルのパラメータと、前記ｊバイト目の第２のモデルのパラメータとを学習する学習手順と、
ｊバイト目の平文と、前記ｊバイト目の平文を入力したときの第２のデバイスから取得されたｊバイト目のサイドチャネル情報との組で表される評価用データと、学習済みの前記第１のモデルと、学習済みの前記ｊバイト目の第２のモデルとを用いて、前記第２のデバイスで暗号化に用いられる秘密鍵を予測する予測手順と、
をコンピュータが実行する安全性評価方法。
【請求項６】
デバイスのサイドチャネル攻撃に対する耐性を評価可能な安全性評価方法であって、
１≦ｊ≦Ｂ（ただし、Ｂは予め決められた１以上の整数）として、ｊバイト目の平文と、前記ｊバイト目の平文を入力したときの第１のデバイスから取得されたｊバイト目のサイドチャネル情報との組で表される学習用データを入力する入力手順と、
サイドチャネル情報を潜在ベクトル空間に埋め込むための第１のモデルと、前記ｊバイト目のサイドチャネル情報とを用いて、前記ｊバイト目のサイドチャネル情報に対応する潜在ベクトルを算出する潜在ベクトル算出手順と、
潜在ベクトルからｊバイト目の平文が取る値の確率ベクトルを算出するためのｊバイト目の第２のモデルと、前記ｊバイト目のサイドチャネル情報に対応する潜在ベクトルとを用いて、前記ｊバイト目の平文が取る値の確率ベクトルを算出する確率ベクトル算出手順と、
前記ｊバイト目の平文と、前記ｊバイト目の平文が取る値の確率ベクトルとの誤差を用いて、前記第１のモデルのパラメータと、前記ｊバイト目の第２のモデルのパラメータとを学習する学習手順と、
ｊバイト目の平文と、前記ｊバイト目の平文を入力したときの第２のデバイスから取得されたｊバイト目のサイドチャネル情報との組で表される評価用データと、学習済みの前記第１のモデルと、学習済みの前記ｊバイト目の第２のモデルとを用いて、前記第２のデバイスで暗号化に用いられる秘密鍵を予測する予測手順と、
が含まれる安全性評価方法をコンピュータに実行させるプログラム。

発明の詳細な説明【技術分野】
【０００１】
本開示は、安全性評価装置、安全性評価方法及びプログラムに関する。
続きを表示（約 1,900 文字）【背景技術】
【０００２】
ＬＳＩチップ等のデバイス内の秘密情報を非破壊的に窃取する方法として、サイドチャネル攻撃が知られている（例えば、非特許文献１）。サイドチャネル攻撃では、攻撃対象となるＬＳＩチップから取得できる消費電力や電磁波等の情報（以下、「サイドチャネル情報」ともいう。）を用いて、そのチップ内で行われている処理を予測することにより攻撃が行われる。
【先行技術文献】
【非特許文献】
【０００３】
上野嶺，田中陸真，伊東燦，本間尚文，"部分鍵差分推測を用いたノンプロファイリング型深層学習サイドチャネル攻撃に関する検討"，In SCIS, 2023.
【発明の概要】
【発明が解決しようとする課題】
【０００４】
しかしながら、非特許文献１等に記載されている従来手法では、秘密情報の窃取に多くのサイドチャネル情報が必要である。一般に、秘密情報の窃取に必要なサイドチャネル情報の数が少ないほど強力なサイドチャネル攻撃であり、そのような強力なサイドチャネル攻撃を実際にＬＳＩチップ等のデバイスに適用することによりデバイスのサイドチャネル攻撃耐性を高精度に評価することが可能となる。
【０００５】
本開示は、上記の点に鑑みてなされたもので、デバイスのサイドチャネル攻撃耐性を高精度に評価できる技術を提供することを目的とする。
【課題を解決するための手段】
【０００６】
本開示の一態様による安全性評価装置は、デバイスのサイドチャネル攻撃に対する耐性を評価可能な安全性評価装置であって、１≦ｊ≦Ｂ（ただし、Ｂは予め決められた１以上の整数）として、ｊバイト目の平文と、前記ｊバイト目の平文を入力したときの第１のデバイスから取得されたｊバイト目のサイドチャネル情報との組で表される学習用データを入力する入力部と、サイドチャネル情報を潜在ベクトル空間に埋め込むための第１のモデルと、前記ｊバイト目のサイドチャネル情報とを用いて、前記ｊバイト目のサイドチャネル情報に対応する潜在ベクトルを算出する潜在ベクトル算出部と、潜在ベクトルからｊバイト目の平文が取る値の確率ベクトルを算出するためのｊバイト目の第２のモデルと、前記ｊバイト目のサイドチャネル情報に対応する潜在ベクトルとを用いて、前記ｊバイト目の平文が取る値の確率ベクトルを算出する確率ベクトル算出部と、前記ｊバイト目の平文と、前記ｊバイト目の平文が取る値の確率ベクトルとの誤差を用いて、前記第１のモデルのパラメータと、前記ｊバイト目の第２のモデルのパラメータとを学習する学習部と、ｊバイト目の平文と、前記ｊバイト目の平文を入力したときの第２のデバイスから取得されたｊバイト目のサイドチャネル情報との組で表される評価用データと、学習済みの前記第１のモデルと、学習済みの前記ｊバイト目の第２のモデルとを用いて、前記第２のデバイスで暗号化に用いられる秘密鍵を予測する予測部と、を有する。
【発明の効果】
【０００７】
デバイスのサイドチャネル攻撃耐性を高精度に評価できる技術が提供される。
【図面の簡単な説明】
【０００８】
本実施形態に係る安全性評価装置のハードウェア構成の一例を示す図である。
学習時における安全性評価装置の機能構成の一例を示す図である。
本実施形態に係る学習処理の一例を示すフローチャートである。
推論時における安全性評価装置の機能構成の一例を示す図である。
本実施形態に係る秘密鍵予測処理の一例を示すフローチャートである。
【発明を実施するための形態】
【０００９】
以下、本発明の一実施形態について説明する。
【００１０】
＜サイドチャネル攻撃に対する安全性評価＞
サイドチャネル攻撃とは、ＬＳＩチップ等のデバイス内の秘密情報を非破壊的に窃取する方法のことである。例えば、非特許文献１には、サイドチャネル情報を入力、チップ内部の信号値を出力とする深層学習モデルを構築した上で、この深層学習モデルとＡＥＳ等の暗号モジュールから取得したサイドチャネル情報とを用いて、その暗号モジュールの秘密鍵を窃取する手法が記載されている。サイドチャネル情報とは、例えば、ＬＳＩチップ等のデバイスから取得できる消費電力や電磁波等の情報のことである。なお、消費電力や電磁波等といったサイドチャネル情報は波形で表現されるため、サイドチャネル情報は「サイドチャネル波形」等と呼ばれてもよい。
（【００１１】以降は省略されています）

関連特許