# 電力解析攻撃/故障利用攻撃耐性 RSA 復号回路の高位合成

High-Level Synthesis of Power Analysis Attack and Fault Attack Resistant RSA Decryption Circuit

| 太田 小百合     | 由良 駿 <sup>†</sup> | 石浦 菜岐佐         |  |
|------------|-------------------|----------------|--|
| Sayuri Ota | Suguru Yura       | Nagisa Ishiura |  |

関西学院大学 理工学部 School of Science and Technology, Kwansei Gakuin University

## 1 はじめに

近年増加する M2M 機器に暗号化機能を実装する場 合,厳しい消費電力制約を満たすために、その処理のハー ドウェア化が一つの選択肢になる. [1] では、高位合成に より RSA 暗号処理回路を設計しているが、セキュリティ 確保のためには、サイドチャネル攻撃への対策も必須と なる.本稿では、[2] のアルゴリズムに基づき、電力解析 攻撃と故障利用攻撃に耐性のある RSA 復号回路を高位 合成により設計する手法を提案する.

2 Fournaris の RSA 復号アルゴリズム

Fournaris のアルゴリズム [2] は RSA の電力解析攻撃 と故障利用攻撃に対する脆弱性の総合的な解決を図った ものであり、一般的な単純/差分電力解析攻撃、Bellcore 攻撃、KQ 攻撃、YLMH 攻撃に耐性を持つ. アルゴリズ ムは図1に示すように、マスキングを伴う Montgomery 冪剰余算と、故障挿入の検出に基づいている.

### 3 攻撃に耐性のある RSA 復号回路の高位合成

本稿では、[1] と同様、多倍長整数演算ライブラリ GMP を高位合成用に書き換えたものを用いて、図 1 のアルゴ リズムを C 言語で記述し、バイナリ合成システム ACAP [3] で合成する.例えば、 $t = S_0 \cdot S_1 \mod N$ は、乗算と 剰余算を行う関数 mpz\_mul と mpz\_mod を用いて、

mpz\_mul(&tmp, &s0, &s1);

mpz\_mod(&t, &tmp, N);

のように書ける.本稿の設計記述は、データを格納す る領域サイズを除いて復号処理のビット数に依存しな い.ACAPは、MIPS用GCCで得られるアセンブリを CDFGに変換し、ここからVerilog HDLを生成する.

### 4 合成結果

実装したプログラムの動作を MIPS ソフトコアで確 認した後, ACAP で合成した. GCC には -O2 を指定 し, ALU 3 個, 乗算器 3 個でスケジューリングを行った. チェイニングは行っていない. 論理合成は Xilinx ISE (14.7) で FPGA (Spartan-6) をターゲットに行った. 合 成結果を 表 1 に示す. "RSA" は攻撃に耐性のない [1] の回路であり, "SRR" が本稿の回路である. "cycles" は, 128 ビット復号処理のサイクル数である. MIPS に比べ 約 7.9 倍の LUT 数で, 約 5.2 倍の高速化が実現した. SRR は RSA に比べて, 約 1.5 倍の LUT 数で, 処理時 間は約 10.5 倍になった.

## 5 むすび

本稿では, 耐電力解析攻撃/故障利用攻撃 RSA 復号回 路を合成した.実行の高速化と回路規模の削減が今後の 課題である.

†現在,防衛省

耐攻撃 Montgomery 冪剰余算 Function: FSCAME **Input**:  $c, b, b^{-1}, e = (1, e_{t-2}, \dots e_0), M$  $\begin{array}{l} \text{Mpart:} (s_0, s_1, s_2, s_4) \\ \text{Output:} (s_0, s_1, s_2, s_4) \\ \text{//} s_0 = b^e \cdot c^e \mod M, \quad s_1 = b^{\overline{e}+1} \cdot c^{\overline{e}+1} \mod M \\ \text{//} s_2 = b^{2^t} \cdot c^{2^t} \mod M, \quad s_4 = b^{-e} \mod M \end{array}$  $T = R^2 \mod M;$   $b_R = b \cdot R \mod M;$   $b_{R-1} = b^{-1} \cdot R \mod M;$   $R = 2^{n+2};$  $s_{0} = s_{1} = b_{R};$   $T_{R} = T \cdot c \cdot R^{-1} \mod M;$   $s_{2} = b_{R} \cdot T_{R} \cdot R^{-1} \mod M;$   $s_{3} = s_{4} = s_{5} = b_{R-1};$ for (i = 0 to t - 1) { if  $(e_i = 1)$  {  $s_0 = s_0 \cdot s_2 \cdot R^{-1} \mod M;$  $s_4 = s_4 \cdot s_3 \cdot R^{-1} \mod M;$ } else { mod M; $s_1 = s_1 \cdot s_2 \cdot R^{-1} \mod M;$   $s_5 = s_5 \cdot s_3 \cdot R^{-1} \mod M;$  $s_{2} = s_{2}^{2} \cdot R^{-1} \mod M;$  $s_{3} = s_{3}^{2} \cdot R^{-1} \mod M;$ }  $s_4 = s_4 \cdot b \cdot R^{-1} \mod M;$  $\begin{array}{l} \textbf{if} \ (i \ \text{and} \ e \ \text{are not modified} \ \textbf{and} \\ s_0 \cdot s_1 \cdot R^{-1} \ \text{mod} \ M = s_2 \cdot 1 \cdot R^{-1} \ \text{mod} \ M) \\ \{ \ \textbf{return} \ (s_0, s_1, s_2, s_4); \ \} \ \textbf{else} \ \{ \ \textbf{return} \ \text{error;} \ \} \end{array}$ RSA 復号

**Input:**  $c, b, b^{-1}, p, q, d_p, d_q, i_q = q^{-1} modp, N$  **Output:**  $c^d modN$   $(s_0^p, s_1^p, s_2^p, s_4^p) = \text{FSCAME}(c, b, b^{-1}, d_p, p);$   $(s_0^q, s_1^q, s_2^q, s_4^q) = \text{FSCAME}(c, b, b^{-1}, d_q, q);$   $s_0 = s_0^q + q \cdot ((s_0^p - s_0^q) \cdot i_q \mod p);$   $s_1 = s_1^q + q \cdot ((s_1^p - s_1^q) \cdot i_q \mod p);$   $s_2 = s_2^b + q \cdot ((s_2^p - s_4^q) \cdot i_q \mod p);$   $s_4 = s_4^q + q \cdot ((s_4^p - s_4^q) \cdot i_q \mod p);$  $i_f (S_0 : S_1 \mod N = S_2 \mod p, a \text{ not modified})$ 

 $\begin{array}{l} \textbf{if} \ (S_0 \cdot S_1 \ \text{mod} \ N = S_2 \ \textbf{and} \ \textbf{p}, \ \textbf{q} \ \text{not} \ \text{modified}) \\ \{ \ \textbf{return} \ (S_0 \cdot S_4 \ \text{mod} \ N); \ \} \ \textbf{else} \ \{ \ \textbf{return} \ \text{error}; \ \} \end{array}$ 

図 1 Fournaris のアルゴリズム [2].

表 1 合成結果.

| C   | ode    | resisters | LUTs       | delay [ns] | cycles      |
|-----|--------|-----------|------------|------------|-------------|
| RSA | (MIPS) | 1,821     | 3,788      | 16.078     | 431,013     |
|     | (HW)   | 1,508     | $19,\!620$ | 21.206     | 68,262      |
| SRR | (MIPS) | 1,821     | 3,788      | 16.078     | 3,745,369   |
|     | (HW)   | 2,658     | 29,986     | 25.055     | $714,\!635$ |

#### 参考文献

- [1] 伊藤, 竹林, 神原, 石浦: "多倍長整数演算ライブラリをリンクしたバイナリコードからの RSA 暗号回路の高位合成," 情処関西支部大会, A-04 (Sept. 2015).
- [2] Apostolos P. Fournaris, et al.: "Protecting CRT RSA against fault and power side channel attacks," in *Proc. VLSI 2012*, pp. 159–164 (Aug. 2012).
- [3] N. Ishiura, H. Kanbara, and H. Tomiyama: "ACAP: binary synthesizer based on MIPS object codes," in *Proc. ITC-CSCC 2014*, pp. 725–728 (July 2014).