2024-03-29T23:21:25Zhttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_oaipmhoai:ipsj.ixsq.nii.ac.jp:002062372024-03-29T05:26:34Z01164:06389:10112:10272
車載通信向けメッセージ認証コードに対するサイドチャネル解析Side-channel Analysis on Message Authentication Code for Control Area NetworkjpnHWS http://id.nii.ac.jp/1001/00206137/Technical Reporthttps://ipsj.ixsq.nii.ac.jp/ej/?action=repository_action_common_download&item_id=206237&item_no=1&attribute_id=1&file_no=1Copyright (c) 2020 by the Institute of Electronics, Information and Communication Engineers This SIG report is only available to those in membership of the SIG. 東北大学電気通信研究所 東北大学電気通信研究所 東北大学電気通信研究所トヨタ自動車株式会社トヨタ自動車株式会社東北大学電気通信研究所永戸, 謙成ヴィッレ, ウリマウル上野, 嶺遠山, 毅小熊, 寿本間, 尚文本稿では,車載ネットワーク向けプロトコル Controller Area Network (CAN) で用いられるメッセージ認証コード (MAC: Message Authentication Code) に対するサイドチャネル解析について述べる.本稿では,AU-TOSAR (AUTomotive Open System ARchitecture) で規定されるセキュアオンボード通信 SecOC (Secure Onboard Communication) 規格に準拠した AES-CMAC を対象とする.同 AES-CMAC では,その構成上 AES の入力値が攻撃者にとって不明であり,かつ,ペイロードが 8 バイトに限定されるため,第 1 ラウンド Sbox に着目した従来のサイドチャネル解析の適用は困難である.加えて,同 AES-CMAC では出力のタグを 2 バイトまで切り詰めるため,最終ラウンドに着目したサイドチャネル解析も同様に困難である.これに対して,提案手法では AES の第 1–3 ラウンドの Sbox に連続的に着目し,ペイロードの値に依存する中間値を 1 次のサイドチャネル解析により順次推定することで秘密鍵を取得する.同手法は SecOC 規格の全バージョン(SecOC_00192/00193/00194)に適用が可能である.本稿では自動車向けセキュリティ評価プラットフォーム PASTA を用いた実験により提案手法の有効性を示す.This paper presents a side-channel analysis (SCA) on a message authentication code (MAC) used in controller area network (CAN). SecOC (secure onboard communication) given by AUTOSAR (automotive open system architecture) employs CMAC with AES (AES-CMAC). The conventional SCA focusing on the first-round is difficult for the AES-CMAC because an attacker cannot know the input to AES and the payload is only given by eight bytes. In addition, SCA on the final round is also unavailable because an output tag is truncated to two bytes. In contrast, the proposed SCA focuses on the second and third rounds in addition to the first round. The proposed SCA identifies intermediate values which depend on the payload, and estimates the payload-dependent values with a first-order SCA in a continuous manner. In this paper, we demonstrate the feasibility of the proposed SCA through an experiment with PASTA (Portable Automotive Security Testbed with Adaptability). The result shows that the proposed SCA can retrieve the entire secret key from all the versions of SecOC (SecOC_00192/00193/00194).AA12628305研究報告セキュリティ心理学とトラスト(SPT)2020-SPT-3820162020-07-132188-86712020-07-10