Mais conteúdo relacionado
Mais de matsushimalab (18)
ma99992010id510
- 2. 1.研究背景(1/3) No.1
デバイス内に秘密鍵(秘密情報)を保管 困難
デバイス
不揮発性
物理的攻撃 •侵襲型:デバイスを直接開けるなど
鍵を常
に保存 メモリ •非侵襲型:サイドチャネル攻撃など
偽造(クローン攻撃) 消費電力,漏洩する電磁波を利用
デバイス 解 攻撃者
不揮発性 決
メモリ 法
解 デバイス
決 揮発性
鍵が保存されない
法 メモリ
揮発性
偽造耐性をもつ
デバイスを作る
PUFが提案された
- 3. 1.研究背景(2/3) No.2
PUF(Physical Uncloneable Functions)とは?
1. の関数の構造をもつ物理的装置
2. 物理的複製困難(製造差異のため) C:チャレンジ
3. 予測困難な R を生む無数の C をもつ R:レスポンス
4. 異なるPUFに同じ C を与えると異なる R を返す
チャレンジ レスポンス
デバイス 予測困難(ランダム性)
C1 R1
C2 R2 C1 PUF R1 として使用
C3 ランダムに一つ選択
: : 鍵がデバイス内に常には保存されない
: :
PUF1 R 揮発性
C 異なる
PUF2 R
物理的複製困難(製造者も一度作ったら同一
のPUFをつくることができない) 偽造耐性
- 4. 2.研究背景(3/3) No.3
PUFの簡単なアプリケーション(認証)
事前に全てのPUFの カード1
あるPUFのいくつかの
CRPsを測定して記録 PUF1 CRPsを得ることができる
してから配布
攻撃者
チャレンジ レスポンス
記録 配布
カード100
チャレンジ レスポンス
PUF100 カード?
C1 R1 C1 認証者
検証者 C2 R2 PUF?
C1 R1 '
C3 R3 R1 =? R1' R1 本物のカード1?
C2 R2
: :
C3
R3 : :
:
: :
: カード1のデータベース =なら認証
カード100のデータベース
PUFを利用した様々な暗号プロトコルが提案され始めている
PUFの安全性の評価
様々なセキュリティの安全性を評価するために必要
- 5. 2.研究目的 物理的複製不可能
No.4
モデリング攻撃
{(C1 , R1 ),..., (Cn , Rn )} 使用 Ctest PUF Rtest
攻撃者
PUFの構造を数学的に表現可能 知りたい
従来法:ロジスティック回帰,サポートベクトルマシンなど
Blaise Gassendらが提案・・・一番高性能(現時点)
今後より良い攻撃法が提案される可能性がある
研究目的
ある評価基準のもとでPUFに最適な攻撃をした時の安全性の評価
安全性の指標
- 6. 3.準備(1/4) No.5
アービターPUF
IC回路におけるパス遅延を利用
• 各チャレンジが二つのパスを作る(0:ストレート 1:交差)
• レスポンスは二つのパスの遅延の差で決まる
• パス遅延はランダムな製造差異のため各PUFごとに異なる
ステージ0 ステージ1 ステージ2 ステージk-1
アービター 0
1 レスポンス
1 ( 0)
R
チャレンジ
C b0 0 b1 1 b2 0 bk 1 1
遅延差
0 ( 0)
チャレンジ:
レスポンス:
アービターPUF:
- 7. 3.準備(2/4) No.6
アービターPUFのモデル化
各ステージのみでしか遅延差は生まれないものと仮定
ステージi ステージi チャレンジ、遅延差の変換
w (w0 , w1 ,..., wk )T :内部パラメータ
i0 i1 i0 , i1 のみから構成
(C ) (0 (C ),....., k 1 (C ),1)T
bi 0 b1 1 :特徴ベクトル C のみから構成
遅延差は線形モデルで表現可能
0 のときR=1(t=1)
w (C ) T
0 のときR=0(t=-1)
- 8. 3.準備(3/4) No.7
アービターPUFへの攻撃の問題設定
0 ,0
0 1
10 , 1 2 , 2
1 0 1
k01 , k 1
1
w (w0 , w1 ,..., wk )T
ステージ0 ステージ1 ステージ2 ステージk-1
アービター
レスポンス
遅延差 1 (t 1)( 0)
R
C b0 0 b1 1 b2 0 bk 1 1 0(t 1)( 0)
ラベル
<攻撃者にとっての未知> <攻撃者にとっての既知>
・各ステージの遅延差: i0 , i1 ・遅延差以外のPUFの構造
・内部パラメータ: w
・遅延差: w T(C )
- 9. 3.準備(4/4) No.8
攻撃者のできること
チャレンジとレスポンスのデータ(CRPs)を得る
(C N , t N ) {(C1 , t1 ), (C2 , t2 ),......, (Cn , tn )}
仮定
は一様に発生する
攻撃の成功
{(C1 , t1 ),..., (Cn , tn )} 使用 Ctest PUF ttest
攻撃者
CRPs:尐
誤り率:小 予測
評価基準
誤り率:小 CRPs数:尐
- 10. 4.従来法(1/2) No.9
ロジスティック回帰を用いた攻撃
1( w T(C ) 0)
PUFのモデル(従来研究): p(t 1 | C , w)
0( w T (C ) 0)
1
ロジスティックシグモイド関数: (a)
1 exp( a)
近似
tを利用すると
- 11. 4.従来法(2/2) No.10
最尤法
負の対数尤度関数
最小とする を求める
代入
解析的に導出できない
反復重み付け最小二乗法などで 求める
と の値
を比較して大きい方ttest の値を とする
近似が良いのか評価できないので最適な攻撃といえない
- 12. 5.提案(1/3) No.11
目的:最適な攻撃をしたときに誤り率がどれだけ落ちるのかを
求めたい ベイズ基準:安全性の指標
損失関数:
ただし (0-1距離)
リスク関数:
評価基準(ベイズ基準)
ベイズリスク関数:
最小化
ベイズ決定関数:
- 13. 5.提案(2/3) No.12
ベイズ決定関数の導出
予測分布
が最大となる を
言い換え可能 とする
予測分布
解析的にも数値計算的にも求まらない
- 14. 5.提案法(3/3) No.13
問題設定の変更
攻撃者のできること(前)
• CRPsの組み を得る 攻撃者により有利な
条件を仮定
攻撃者のできること(後)
• まで知れる :既知
• 訓練データの組み を得る
仮定の追加
•
ベイズ基準のもとで最適な攻撃が可能
予測分布が解析的に求まる(正規分布)
- 15. 6.シミュレーション No.14
実験内容
訓練データを固定したときのステージ数と攻撃成功率の
変化
ステージ数を固定したときの訓練データと攻撃成功率の
変化
と の値が同じ数
攻撃成功率=
全てのテストデータ
シミュレーション条件
と仮定
テストデータは1000コ
- 16. 7.結果 No.15
訓練データ数固定
1
大 0.95
0.9
攻 0.85 訓練データ200コ
0.8
撃 0.75
訓練データ600コ
訓練データ1000コ
成 0.7
訓練データ2000コ
0.65
功 0.6
率 0.55
0.5
小 64 128 256 512 1024 2048
ステージ数
小 大
- 17. 7.結果 No.16
ステージ数固定
1
大 0.95
0.9 ステージ数64
攻 0.85 ステージ数128
撃 0.8
0.75
ステージ数256
ステージ数512
成 0.7 ステージ数1024
0.65 ステージ数2048
功 0.6
率 0.55
0.5
小 100 1100 2100 3100 4100
訓練データ数
小 大
- 18. 8.考察 No.17
訓練データ数固定
ステージ数と攻撃成功率の関係を示した。理想
は攻撃成功率0.5に近づけることである。
ステージ数を固定
訓練データ数を増やしていくと攻撃成功率が急
激に増加するので訓練データを多く得られると複
製できてしまう。
- 19. 9.まとめ No.18
ベイズ基準のもとで最適な攻撃をしたときの
攻撃成功率を評価し安全性の指標とした。
- 20. 付録A No.19
問題設定変更後の評価基準の導出
距離
損失関数
リスク関数
評価基準
ベイズリスク関数
ベイズ決定関数
予測分布 値が大きい方の
を とする