開発者に聞く

このコーナーでは、日立製作所の研究所等で研究・開発を行っている技術テーマを中心としたコラムをお届けします。 研究員にインタビューを行い、技術テーマ解説・開発過程におけるエピソードなどを交えてわかり易くご案内いたします。

専用演算器が不要な小型マイコン向け暗号実装技術

■ wNAFを小型マイコン上で使えないか

−　今回の新しい暗号実装技術を開発された背景から教えてください。
宝木：　ユビキタス情報社会は、今後5年から10年の間に劇的な進化を遂げていくと予想されます。具体的には、目に見えないほどの大きさのICチップが世の中のあらゆるものに実装され、付加価値の高いサービスを提供するためIT化していく。そこでは、幅広いIT機器どうしが、常に正確かつ安全にコミュニケーションし合うことが重要なポイントとなります。現在もセキュアなビジネスと社会を実現するため、さまざまな形でIT機器どうしの認証が行われていますが、今後はより小型で低コストのツール―例えばICカードやRFID、USBメモリ、その他さまざまな組み込み系ユビキタス機器で実現可能な認証技術が求められてくると私たちは考えました。そこで今回、電子署名法で認められている楕円曲線暗号を用いた日立独自の暗号技術「wNAF（ダブリュ・ナフ）※」を、暗号専用の演算器がない小型マイコンレベルでも使えるようにしたわけです。
−　ベースとなった「wNAF」という暗号を簡単に説明していただけますか。
桶屋：　最近、磁気カードの情報を盗み取る“スキミング”という言葉がニュースをにぎわせています。その対抗策として普及しつつあるICカードは、磁気カードに比べて非常に高い安全性を備えていますが、将来的に出てくるであろう新たなセキュリティ攻撃への対抗策も、今のうちから考えておかねばなりません。
例えば、現在わかっている攻撃手法の1つに「サイドチャネル攻撃」というものがあります。これは、ある端末とカードが認証を行う場合、端末側からの電力供給で暗号処理を実行すると、情報のビット値が0であれば0を表す電力消費波形、1であればそれとは異なる電力消費波形が出てしまうことを逆手にとり、外部から秘密情報を特定する手法を指します。また、暗号処理の計算時間や漏えい電磁波などからも秘密情報が盗まれる可能性があることから、対抗策として私たちが開発したのがwNAFです。	図1　サイドチャネル攻撃の仕組み ※クリックして拡大図をご覧下さい
wNAFは楕円曲線暗号の1つであり、秘密鍵の表現を従来の0と1の2値によるものから、「0」「1」「-1」の3値を用いた表現へと変換し、さらにブロックごとに 0..0x 0..0x ... 0..0x（注:xは非0値）という固定されたパターン表現へと変換します。これにより、どんな秘密情報でも固定したパターンが繰り返され、外部からの特定が不可能となるのです。ただしこれまでwNAFで高い安全性を確保するには、暗号用の専用演算器が必要でした。

■ 計算効率の高い「コブリッツ曲線」に着目

−　暗号専用演算器を不要としたのが今回のポイントというわけですね。
ヴィオム：　はい。そのため本技術―ゼロフリー法と呼んでいるのですが―では、短いビット長で高い安全性を実現できる楕円曲線暗号の中でも、特に計算効率の高い「コブリッツ曲線」というものに着目しました。コブリッツ曲線では「τ（タウ）倍算」という特殊な演算が利用できます。τ倍算は通常の楕円曲線の演算より処理が軽く、コンピュータが得意とする演算に近い特徴を持っており、そのため専用のコプロセッサ（補助プロセッサ）を必要としません。汎用的なプロセッサ内でも十分、実用的なスピードで演算できるのです。	図2　耐タンパwNAF法とゼロフリー法 ※クリックして拡大図をご覧下さい
その代わり、今まで学会では、コブリッツ曲線を用いて耐タンパ性（機密データの読み取りを防ぐ能力）を向上させる研究に取り組んできた人が、なぜかいなかったんですね。そこでわれわれが初めて、この課題にトライし、wNAFをコブリッツ曲線に対応させたのが、今回開発した暗号実装技術ということになります。楕円曲線と同じく、電子署名法で指定されているRSA暗号と比較しても、専用演算器なしで速度の低下もなく同等以上の安全性を実現します。
−　wNAFをコブリッツ曲線に対応させるアルゴリズムのアイデアは、もともとヴィオムさんが発想したものだとうかがっています。どのような過程を経て、今回の成功を導き出すことができたのでしょうか。
ヴィオム：　私は昨年の10月に日立へ入社したわけですが、それまではドイツのダルムシュタット工科大学の学生として、ここにいらっしゃる宝木さん、桶屋さんら日立の暗号研究者の方々と一緒に共同研究を行っていました。その頃から、いずれは日立のwNAFとコブリッツ曲線を連携させた新しいアルゴリズムの開発にトライしてみたいと考えていましたが、入社後すぐにそのチャンスが回ってきたというわけです。
−　　開発にあたって苦労されたことはありますか。
ヴィオム：　いえ、ただ毎日こつこつと少しずつステップを踏みながら積み上げていった結果がこうなった、というだけですね。開発ストーリーとしてはあまり面白くなくて申し訳ないのですが（笑）。

■ ICチップの生産コスト低減にも貢献

−　今回の実装技術によって、今まではコスト面がハードルとなって公開鍵暗号を搭載できなかった機器にも、幅広く適用できるようになるわけですね。

桶屋：　コストといってもいろいろな側面があると思うのですが、同じ楕円曲線暗号を搭載しながら、今回の実装技術によってICチップ内に暗号専用のコプロセッサが必要なくなるため、ICチップの生産コストは間違いなく下げることができるでしょう。また、組み込み系のユビキタス機器に認証機能を持たせたい、あるいはすでにある認証機能を強化したいといったニーズにも有効に活用できると思います。

−　今後の展開はいかがでしょう。

桶屋：　まずはプロトタイプを使い、ICカードあるいはパソコンに差し込んでネット認証を行うUSBメモリなどの実製品に組み込んでいく作業にトライしていきます。例えばMULTOSというOSを搭載したICカードの場合には、そのOSの下の部分で動く暗号機能として働く形となりますが、ICカードの複数の機能が組み合わされた状態でも間違いなく高い安全性を実現できるのかどうかのチューニングを繰り返しながら、トータルな形での安全性を提供していきたいと思っています。

宝木：　人々のITへの依存度が高まるほど、セキュリティに対する要求と期待も高まってきます。今後も私たちは、幅広いシーンで活用される、使いやすく強力なセキュリティ技術を提供することで、安心で安全なユビキタス情報社会の実現に貢献していきたいと考えています。

−　これからもグローバルセキュリティに貢献する、日立ならではの新たな暗号技術の開発に期待しています。本日はどうもありがとうございました。

※wNAF：Width-w Non-Adjacent Form（非隣接形式方法）の略。

（次ページへ）

[ Back ]　2 / 3　[ Next ]