SCIS 2013 The 30th Symposium on Cryptography and Information Security Kyoto, Japan, Jan. 22 - 25, 2013 The Institute of Electronics, Information and Communication Engineers

# グリッチ PUF を用いた鍵生成 LSI の試作

LSI Implementation of Device Key Generator using Glitch PUFs

## 鈴木 大輔\*

清水 孝一\*

菅原 健\*

Daisuke SUZUKI

Koichi SHIMIZU

Takeshi SUGAWARA

汐崎 充†

藤野 毅‡

Mitsuru SHIOZAKI

Takeshi FUJINO

あらまし 近年,セキュリティチップで実現されている耐タンパ性をASICやFPGAなどの汎用LSI で実現可能な技術:Physical Unclonable Functions (PUF)が注目されている.これまでに我々は,ある 1つのゲートにおける遅延のばらつきがグリッチの形状に大きな影響を与えることを利用したPUFの構 成法 Glitch PUF (GPUF)を提案している.本稿では,65nm CMOS プロセス上で試作した GPUF によ る鍵生成LSIの性能評価結果を報告する.特に,本報告ではGPUFにおけるグリッチ生成回路の構成と PUFの基本性能であるユニーク性と環境変化に対するロバスト性の関係を中心に報告を行う.

キーワード Physical Unclonable Function , LSI implementation , Evaluation

1 はじめに

金融取引や入退室管理などセキュリティが求められる 様々な場面では,ICカードや暗号ボードに代表される 高度な暗号機能を持つ暗号ハードウェアが広く利用され ている.暗号ハードウェアが広く利用される理由の1つ に,そのセキュリティレベルの高さが挙げられる.例え ば,ICカードの主要コンポーネントであるセキュリティ チップには,暗号技術を用いるために不可欠である秘密 情報(鍵情報)への不正なアクセスを検知し,情報漏え いを防止する技術"耐タンパ技術"が適用されている.

近年,前述したセキュリティチップで実現されている 耐タンパ性を ASIC や FPGA などの汎用 LSI でも実現 可能な技術: Physical Unclonable Function (PUF) [1] が 注目されている. PUF は LSI に代表される個々の人工物 が持つ物理的な特徴量を応じて,与えられたチャンレン ジ(挑戦)に対し,レスポンス(応答)を返すように設計 されたシステムである.その人工物が持つ特徴量は製造 ばらつきによって発生し,特徴量が同じになる人工物を 複製することは困難であるとされている.加えて,ノイ ズを含む特徴量から安定した秘密情報を生成する Fuzzy Extractor [2] (FE) を PUF の応答に対して実行するこ とにより, 複製困難なデバイス固有鍵を生成することが 可能となる [3]. この鍵情報は, セキュリティチップのよ うに不揮発性のメモリに格納せずとも再生成することで 利用可能なため,チップを開封して直接格納されたデー タを読み取るような解析に対して耐性を持つ.特に,汎 用LSIが持つ特徴量を用いたPUFの実現方式やデバイ ス固有鍵生成に関する研究 [4, 5, 6, 7, 8, 9, 10, 11] が 盛んに行われている.現在,LSI上でのPUFの実現は SRAM-PUF [5] に代表されるメモリセルの特徴量を用 いる方式と, Arbiter PUF [6] のような回路遅延のばら つきを特徴量とする方式に分けられる.特に後者の方式 は総称して Delay-PUF と呼ばれている.

SRAM-PUF に関しては,FE で必要な誤り訂正符号 や汎用ハッシュ関数の実装についても最適化されてお り[10,11],現在最も実現性の高いPUFの1つとして知 られている.しかしながら,SRAM-PUFやButterfly-PUF [8] のようなメモリセルの電源投入直後における 不安定状態を利用したPUFは,一旦消去した鍵を再現 できるタイミングが限られるという問題がある.また, FPGA のように,予め入手可能なデバイスであれば特徴 量が持つ情報量を評価可能であるが,ASICへの実装を

<sup>\*</sup> 三菱電機株式会社 情報技術総合研究所 〒 247-8501 神奈川県鎌 倉市大船 5-1-1. Mitsubishi Electric Corporation, Information Technology R & D Center, 5-1-1 Ofuna Kamakura, Kanagawa, 247-8501, Japan.

<sup>&</sup>lt;sup>†</sup> 立命館大学総合理工学研究機構 〒 525-8577 滋賀県草津市野路東 1-1-1. Research Organization of Science & Engineering, Ritsumeikan University, 1-1-1 Nojihigashi, Kusatsu, Shiga, 525-8577, Japan.

<sup>&</sup>lt;sup>‡</sup> 立命館大学大学院理工学研究科 〒 525-8577, 滋賀県草津市野路東 1-1-1, Graduate School of Science and Technology, Ritsumeikan University, 1-1-1 Nojihigashi, Kusatsu, Shiga, 525-8577, Japan.

想定した場合,動作モデルのみが提供される SRAM セ ルの特徴量を設計段階で評価することは難しいと考えら れる.

そこで我々はこれまでに文献 [12, 13] において鍵の再 現に関する制約がなく、一般的な論理回路設計法で実装 可能な Glitch PUF を提案している.本稿では,文献 [14] で報告した Glitch PUF を用いた鍵生成回路について, その評価結果を報告する.特に,本報告ではGlitch PUF におけるグリッチ生成回路の構成と PUF の基本性能で あるユニーク性と環境変化に対するロバスト性の関係を 中心に報告を行う.

以下,本稿の構成について述べる.第2章では,Glitch PUFの基本動作について述べる.第3章では、設計・試 作した Glitch PUF のテストチップについて説明し,第 4章及び第5章ではテストチップの評価方法と評価結果 をそれぞれ示し、第6章で本稿のまとめを行う.

#### **Glitch PUF** 2

#### Glitch PUF の動作原理 $\mathbf{2.1}$

Glitch PUF (以下, GPUF)は, 論理回路を構成する 各ゲートの入出力信号間の遅延関係によって発生する グリッチと呼ばれる現象を利用した PUF の一構成法で ある.

以下,図1に示す簡単な論理回路でその原理を説明す る. 図1のような, 複数の入力信号に対して, AND や XOR などの論理演算を行う回路においては,一般に, 各信号の遅延差によって、グリッチと呼ばれる信号の過 渡遷移が発生する.図1では,入力信号(x1,x2,x3)が 全て 0 から 1 に変化する場合, x1,x2 の信号変化の時 間差によって,まず XOR ゲートの出力に凸状のグリッ チが発生する.そして次に, x3の変化が,このグリッ チよりも早く AND ゲートに到達すれば, このグリッチ は AND ゲートの出力に伝播する.逆に, x3 の変化が, このグリッチよりも遅く AND ゲートに到達すれば,こ のグリッチは AND ゲートの出力には伝播しない. さら



図 1: 遅延値の違いによる回路の挙動

Algorithm 1 鍵生成処理における GPUF の動作

Setting: *m* ビット入力 *n* ビット出力のランダムロジッ ク f に対して入力信号に状態遷移  $x'_i \rightarrow x_i$  によって 発生する各出力信号での立ち上がりエッジの偶奇数  $b_i = \operatorname{G2R}_f(x'_i \to x_i),$ n ビットデータ  $b_i = (b_{i,1}, b_{i,2}, \cdots, b_{i,n})_2$ . Input:  $l \cdot m$  ビットデータ  $X = (x_1, x_2, \cdots, x_l),$ 繰り返し回数 cntre, 安定性判定閾値 therr. **Output:**  $(W, S_{\text{mask}}) \leftarrow \text{GPUF}_{\text{Gen}}(X, \text{cnt}_{\text{re}}, \text{th}_{\text{err}}),$  $l \cdot n$  ビット PUF 応答  $W = (w_1, w_2, \cdots, w_l),$  $l \cdot n$  ビット補助データ  $S_{\text{mask}} = (s_1, s_2, \cdots, s_l).$ 1: for i = 1 to l do  $\operatorname{cnt}[1:n] \leftarrow \operatorname{all} 0$ 2: for j = 1 to  $cnt_{re}$  do 3:  $b_i = \mathrm{G2R}_f(0 \to x_i)$ 4: for k = 1 to n do 5:  $\operatorname{cnt}[k] \leftarrow \operatorname{cnt}[k] + b_{i,k}$ 6: 7: end for end for 8: for j = 1 to n do 9: if  $(\operatorname{cnt}[j] \leq \mathsf{th}_{\mathsf{err}})$  then 10: $w_{i,i} \leftarrow 0, s_{i,i} \leftarrow 1$ 11: else if  $(\operatorname{cnt}_{\mathsf{re}} - 1 - \operatorname{th}_{\mathsf{err}} \leq \operatorname{cnt}[j])$  then 12: $w_{i,j} \leftarrow 1, s_{i,j} \leftarrow 1$ 13:14: else 15: $w_{i,j} \leftarrow 0, s_{i,j} \leftarrow 0$ end if 16:end for 17:18: end for 19: return  $W, S_{\text{mask}};$ 

に,もしx3の方が早い場合であっても,AND ゲートの PATHPULSE 特性 [15] 次第で,幅の短いグリッチが出 力に伝播しないといったことも起こりうる.ただし,十 分に幅の長いグリッチに限定すれば,そのグリッチ形状 は, Arbiter-PUF[6] などの Delay-PUF と同様に, 遅延 の相対関係によって確定し、その形状は動作環境が変化 しても維持されることが期待できる.

我々は, GPUF の基本コンセプトを文献 [12] で提案し, その後改良を加えたバージョンを文献 [13] で示した. こ こで、Alg. 1 及び Alg. 2 として文献 [13] における GPUF の動作を擬似コード化した記述を示す. Alg. 1 は鍵生成 時における GPUF の動作を表す. 鍵生成時は、PUF 応答 のエラーレートを下げるために、同一の入力状態遷移に 対してエッジの偶奇判定を複数回行い、その出力が安定 的かを検査する処理を行う.具体的には、繰り返し回数 cnt<sub>re</sub> で規定される回数分繰り返し処理を行う. その後,

### Algorithm 2 鍵再現処理における GPUF の動作

```
Setting: m ビット入力 n ビット出力のランダムロジッ
     クfに対して入力信号に状態遷移x'_i \rightarrow x_iによって
     発生する各出力信号での立ち上がりエッジの偶奇数
     b_i = \operatorname{G2R}_f(x'_i \to x_i),
     n ビットデータ b_i = (b_{i,1}, b_{i,2}, \cdots, b_{i,n})_2.
Input: l \cdot m ビットデータ X = (x_1, x_2, \cdots, x_l),
           l \cdot n ビット補助データ S_{\text{mask}} = (s_1, s_2, \cdots, s_l),
           繰り返し回数 cnt<sub>re</sub>.
Output: W \leftarrow \text{GPUF}_{\mathsf{Rep}}(X, S_{\text{mask}}, \mathsf{cnt}_{\mathsf{re}}),
     l \cdot n ビット PUF 出力 W = (w_1, w_2, \cdots, w_l).
 1: for i = 1 to l do
        \operatorname{cnt}[1:n] \leftarrow \operatorname{all} 0
 2:
        for j = 1 to cnt_{re} do
 3:
           b_i = \mathrm{G2R}_f(0 \to x_i)
 4:
           for k = 1 to n do
 5:
              \operatorname{cnt}[k] \leftarrow \operatorname{cnt}[k] + b_{i,k}
 6:
 7:
           end for
        end for
 8:
        for j = 1 to n do
 9:
           if \operatorname{cnt}[j] < \operatorname{cnt}_{re}/2 then
10:
11:
              w_{i,i} \leftarrow 0
12:
           else
13:
              w_{i,j} \leftarrow 1
           end if
14:
        end for
15:
        w_i \leftarrow w_i \cap s_i
16:
17: end for
18: return W;
```

出力ビット毎に安定性判定閾値 th<sub>err</sub> を基準としてビット の安定性に関する検査を行い、基準を満たさないビット はそのビットに対応する補助データ  $S_{mask}$  のビット値を 0とすることで鍵生成及び再現時に0として扱う処理を 行う. これに対し、Alg.2 に示す鍵再現時における Glitch PUF の動作では、繰り返し処理は生成時と同様に実施す るが、最終的な応答は多数決判定と  $S_{mask}$  によるマスク 処理で決める.

#### 2.2 Glitch PUF の回路構成

図2にGPUFの回路構成を示す. 図中 "Glitch count regiser"は、立ち上がりエッジの偶奇数を判定する信号 をクロックとするフリップ・フロップ (FF)である. こ のFFは、判定処理を行う直前に図中 "clear"信号によ ってリセットされる.GPUFの情報量やビット誤り率は、 "Random logic f"の回路構成に依存する. 過去のFPGA 上における GPUFの評価から、ビット誤り率は論理段 数が深くなるほど上昇すると予想されるため、本稿で述



べる試作チップでは論理段数の異なる複数の fを選択 可能な構成としている.繰り返し処理によるビット誤り 率の低減や利用しないビットの決定は図中"Counter & Comparator"で実行される.これらの計算に必要なレジ スタサイズは cnt<sub>re</sub> によって決定される.3.1.3 項に挙げた 例である cnt<sub>re</sub> = 7 であれば,  $b_i$ の各ビットに対してそれ ぞれ 3 ビットのレジスタを用いることで実装できる.

#### 3 テストチップの設計及び試作

本章では,富士通の65nm CMOSスタンダードセル・ラ イブラリを用いて試作した,テストチップの概要とGPUF の回路設計について述べる.

#### 3.1 テストチップの全体構成

図 3 にテストチップの全体構成を示す. テストチップ は, I2C slave のインターフェースを持つチップとして動 作する.また,本チップは GPUF による FE による鍵生 成機能を備える. 鍵生成処理に必要な補助データは, 図中 の SRAM に格納され, 鍵生成回路がマスタとなってリー ド/ライトすることで鍵生成及び鍵再現に必要なデータ のハンドリングを行う.

GPUFは、ランダムロジックの構成とPUFとしての性能の関連性を実測で評価するために、複数のランダムロジックを搭載し、外部コマンドによって使用するランダムロジックを切り替えられる構成としている.また、ランダムロジックとして、評価の目的毎にTYPE1とTYPE2の2種類を実装している.加えて、チップ間及びチップ内でのPUFとしての性能を評価する目的で、同一モジュール、同一レイアウトのGPUFを種類毎に4つ搭載し、物理的なモジュールを選択できる構成としている.また、繰り返し回数cntreや安定性判定閾値therrについても外部からパラメータを選択できる構成としている.



図 3: テストチップの全体構成

#### 表 1: GPUF のデザインパラメータ

| デザイン    | テストチップの                                                   |
|---------|-----------------------------------------------------------|
| パラメータ   | 設定値                                                       |
| 入力ビット長  | n = 32 (固定)                                               |
| 出力ビット長  | m = 32(固定)                                                |
| レスポンス数  | $l \in \{4, 8, \cdots, 512\}$ (可変)                        |
| 繰り返し回数  | $cnt_{re} \in \{1, 3, 7, \cdots, 255\}$ (可変)              |
| 安定性判定閾値 | $0 \leq th_{err} \leq \lfloor cnt_{re}/2  floor - 1$ (可変) |
|         | 但し, $cnt_{re} = 1  o$ 場合,                                 |
|         | th <sub>err</sub> $= 0$ のみ利用可                             |

その他のモジュールを含めたデザインパラメータを表1 に示す.

このほか,本テストチップには,文献 [17] で提案されて いる RG-DTM PUF やサイドチャネル評価用の AES な どが実装されており,多目的テストチップとして全体設 計が行われている.

#### 3.2 グリッチ生成回路

前述のようにテストチップでは GPUF のグリッチ生成 回路として TYPE 1と TYPE 2の2種類を実装して いる. 紙面の関係上, ここでは本稿で採り上げる TYPE 1 について説明を行う.

図4に示される回路構成を持つTYPE1は,我々が 文献[16]で提案するブロック暗号の処理,物理乱数発生 及びPUFの機能を統合したコプロセッサでのグリッチ 生成回路を想定したものであり,AESのデータパスを利 用した回路構成である.AESとして動作する場合は図4 の"chain logic"と示されるANDゲートはすべて0を出 力するように制御する.一方,GPUFとして動作する場 合は,図4のchain logicをオンにすることで変更するこ とができる.例えば,図中左端のchain logicをオンにす ると左端のSubBytes出力のパスがその右側のSubBytes 入力として合流することになるため,およそSubBytes – つ分のロジック段数が増加することになる.定性的には,



#### 図 4: **TYPE 1** のグリッチ生成回路

表 2: グリッチ生成回路の種類

| グリッチ |     | chain logic |     | データ                           |
|------|-----|-------------|-----|-------------------------------|
| 生成回路 | (1) | (2)         | (3) | パス                            |
| GG1  | OFF | OFF         | OFF | $1 \mathrm{S} + 1 \mathrm{M}$ |
| GG2  | ON  | OFF         | OFF | $2 \mathrm{S} + 1 \mathrm{M}$ |
| GG3  | ON  | ON          | OFF | $3 \mathrm{S} + 1 \mathrm{M}$ |
| GG3  | ON  | ON          | ON  | $4 \mathrm{S} + 1 \mathrm{M}$ |
|      |     |             |     | r a i                         |

S: SubBytes, M: MixColumns

論理段数が増えることで遅延ばらつきによるグリッチの 振る舞いはより複雑化され,結果として PUF としての ユニーク性が増加することが期待できる.一方で,グリッ チの振る舞いが複雑になれば,温度や電圧に対してセン シティブなパスが増加することと予想され,PUF のとし てのロバスト性が低下することが予想される.

第4章及び5章では、このトレードオフについて chain logic のオン/オフと, PUF の諸性能の関係を評価する. 尚,本稿では chain logic のオン/オフとグリッチ生成回 路の対応を,表2に示される表記を用いる.

#### 3.3 レイアウト

テストチップのレイアウトを図 5 に示す. チップサ イズは 2.5mm × 2.5mm であり,電源電圧は 1.2V でメ タルは 7 層である. レイアウトは Cadence Encounter Digital Implementation System を用いて実施している. 図中,中央に配置された大きさの異なる 2 種類の正方形 区画は,同一レイアウトでマクロ化して配置した 8 つの GPUF 回路である. GPUF は他のモジュールとは独立 に合成する. また,レイアウト実行時はフロアプランさ れた領域に GPUF 単体で配置配線を行い,その結果をマ クロ化する. このマクロをフロアプランで確保された同 一面積の複数領域にマップする. 以上のフローによって, 合成時の仮負荷,及びレイアウト後の実負荷抽出によっ て得られる遅延情報ファイルは,同じタイプの GPUF 間 で同一となる.



図 5: テストチップのレイアウト



図 6: テストチップの評価環境

尚,図5で正方形区画のうち,回路面積が小さい区画 にTYPE1のグリッチ生成回路が実装されている.

#### 4 評価方法

#### 4.1 評価環境

図6にテストチップの評価環境を示す.テストチッ プはPCから図中上側のFPGAボード経由で制御され る.また,温度変化や電圧変化に関するテストは恒温 槽とFPGAボードに搭載されたポテンショメータの制 御によって行う.FPGAとテストチップ間の接続は耐熱 ケーブルで接続し,テストチップを搭載したボードのみ 温度変化を与える.評価における温度,電圧の設定は共 にデータロガーによる計測値で自動調整する.以下では 特に断りがない限り,温度はテストチップの表面温度を 指し,電圧はテストチップへ供給するコア電圧を指す.

#### 4.2 評価項目

まず,以下で使用する基本的な表記法を説明する. HD(A, B)はビット列A, Bのハミング距離を表し, $A \cap B$ はビット毎のAND処理を表す.HW(A)はAのハミング重みを意味する.

テストチップに対する評価項目を表3にまとめる.評価は評価項目5を除き,テストチップ16石に対して実施している.表3で,評価対象の欄は,チップ間で同一の

位置に実装された GPUF 間の比較を単にチップ間と表記する.また,同一チップ内で同一レイアウトにより実装された GPUF 間の評価をチップ内と表記し,(チップ間,チップ内)を(Y,N)と表記した場合,チップ内で同じ位置に実装された GPUF をチップ間で比較することを意味する.また,(N,Y)と表記された評価項目は,チップ内の同一レイアウトの GPUF 間での比較をチップの数だけ行うこと意味する.計測回数の欄は,評価対象あたりに同一のチャレンジに対するレスポンスを取得する回数を意味する.チャレンジはすべてランダムなビット列を発生させている.

評価項目 1 表3の評価項目1では,温度変化範囲( $0^{\circ}$ C ~ 85°C)及び電圧変化範囲( $1.20V\pm5\%$ )におけるすべてのコーナケースでのビットエラーレート BER を評価する. BER は Alg.1の表記法を用いた場合,次のように表される.

 $BER := \mathsf{HD}(W^{n} \cap S^{n}_{mask}, W^{c} \cap S^{n}_{mask}) / \mathsf{HW}(S^{n}_{mask})$ 

ここで, *A*<sup>n</sup> は常温・常電圧下 (27°C, 1.20*V*) における GPUF の出力を表し, *A*<sup>c</sup> は同じ GPUF のコーナーケー スにおける出力を表す.コーナーケースは4通り存在す るが, FE における誤り訂正符号の訂正能力を決定する ために重要となる BER の最大値を評価する.

評価項目 2 評価項目 2 では,常温・常電圧下において, Alg.1 における S<sub>mask</sub>の各ビットが有効になる確率

$$P_r[s_{i,j}=1] := \mathsf{HW}(S_{\text{mask}}^n)/(l \cdot n)$$

を評価する.すなわち,生成したレスポンスのうち,利 用可能なレスポンスの発生効率を示す指標となる.

評価項目 3 評価項目3では,常温・常電圧下における, チップ間の平均ハミング距離

$$AHD := \mathsf{HD}(W^i \cap S^i_{\text{mask}}, W^j \cap S^i_{\text{mask}}) / \mathsf{HW}(S^i_{\text{mask}})$$
$$(i \neq j)$$

を評価する.ここで, A<sup>i</sup> は i 番目の GPUF におけるデー タを表す.この評価は一般に PUF のユニーク性と呼ば れる指標であり,同一チャレンジに対して,チップ間で どの程度異なるレスポンスがが返されるかを示す指標で ある.

評価項目 4 評価項目 4 は,評価項目 3 の評価を,チッ プ内の GPUF 間で行う.チップ1 石あたり 4 つの GPUF が存在するため,1 石あたり 12 通りの組み合わせに対 して平均ハミング距離を評価する.この目的は,GPUF のユニーク性がウェハ内で近接していても,保証される かを評価することにある.

| 評価項目 | 評価内容の概要                   | 評価対象      | 計測回数 |
|------|---------------------------|-----------|------|
|      |                           | チップ間 チップ内 |      |
| 1    | 環境変化に対する BER の最大値         | (Y,N)     | 100  |
| 2    | 利用可能なレスポンスの発生効率           | (Y,N)     | 1    |
| 3    | チップ間での GPUF 間のレスポンスのユニーク性 | (Y,N)     | 1    |
| 4    | チップ内での GPUF 間のレスポンスのユニーク性 | (N,Y)     | 1    |
| 5    | 経年劣化による BER の最大値          | (Y,N)     | 100  |

表 3: 評価項目



図 7: 環境変化に対する BER の最大値



図 8: 利用可能なレスポンスの発生効率

評価項目 5 評価項目 5 では,高温(125°C)及び高電圧 (1.32V)下でGPUFの連続運転を行うことで劣化の加速 を行い,加速前後のチップに対して常温・常電圧下にお けるレスポンスのBERを評価する.高温・高電圧下で の動作は計336時間まで実施している.本評価に用いた チップは評価項目4までに用いた16石とは異なる個体 を用いており,2石に対して実施している.

加速試験は様々な方法があるが,ここでは温度と電圧 を加速要因とした一般的な定ストレス法を用いる.加速



図 9: チップ間での GPUF 間のレスポンスのユニーク性



図 10: チップ内での GPUF 間のレスポンスのユニーク性

のモデル式は以下のような関係が知られている.

温度加速モデル式:寿命  $L_1 = A_1 \cdot \exp(E_a/kT)$ 電圧加速モデル式:寿命  $L_2 = A_2 \cdot \exp(-\beta/V)$ 

ここで,  $E_a$  は活性化エネルギー,k はボルツマン定数, Tは絶対温度, $\beta$  は電圧加速係数,V は印加電圧であり, $A_1$ ,  $A_2$  は定数である.一例として  $E_a = 0.5$  や $\beta = 0.8$  と し,使用温度を 60°C とするならば,加速係数は 37.84 となり,336 時間の試験はおよそ 1.5 年に相当する計算 となる.



#### **5** 評価結果

評価項目 1 図 7 に評価項目 1 の結果である環境変化 に対する BER の最大値を示す.図 7 は 16 石に対する BER の最大値をボックスプロットしたものである.横 軸は Alg.1 における繰り返し回数  $cnt_re$  であり,縦軸が BER である.図 7 からグリッチ生成回路の論理段数が増 加するにつれて BER が増加する.逆に  $cnt_re$  の増加に従 い,BER が低減することがわかる.一方で, $cnt_re = 7$ あるいは  $cnt_re = 15$  までは BER が急速に低減するのに 対して,それ以上は低減率が低いことがグラフから読み 取れる.FE での鍵生成を想定した場合,利用可能なリ ソースにもよるが,15% 程度を BER の上限とするなら ば, $cnt_re = 7$ では GG1 及び GG2 がグリッチ生成回路 として利用可能であることがわかる.

一方で, 文献 [16] で我々が提案する物理乱数発生器と しての GPUF の応用を考えるならば, BER が高いこと が望ましい.この場合, cnt<sub>re</sub> = 1 で 50% 付近の BER を持つ GG4 がグリッチ生成回路としてふさわしい選択 であると言える.

評価項目 2 図8 に評価項目 2 の結果である利用可能な レスポンスの発生効率を示す.横軸は図7と同じ設定で ある.図8から利用可能なレスポンスの発生効率は,グ リッチ生成回路の依存性が非常に高く、GG3とGG4で は生成したレスポンスのほとんどのビットがAlg.1で不 安定で利用できないビットと判定される.一方,GG1及 びGG2では,評価項目1での繰り返し回数の効率を考 慮にいれるならば,  $cnt_{re} = 7$ における発生効率はGG1 はおよそ9割,GG2では7割程度のレスポンスが利用 できる.従って,レスポンスの発生効率の観点からもグ リッチ生成回路としてはGG1及びGG2が適切な選択 であると言える.

評価項目 3 図 9 に評価項目 3 の結果であるチップ間での GPUF 間に対するレスポンスのユニーク性を示す.横

軸は図 7 と同じ設定である.図 9 からグリッチ生成回路 の論理段数が増加するにつれて平均ハミング距離 AHD がより理想値である 0.5 に近づくことがわかる.評価項 目 1 及び 2 の結果を考慮に入れた場合,GG2 が GG1 よ りもおよそ 1 割程度平均ハミング距離が高く, $cnt_re = 7$ では 33% 程度となる.ここで,評価項目 1 の結果から,  $cnt_re = 7$  における GG2 のエラーレートはコーナケー スを考慮しても 11% 程度であるため,チップをユニー クに特定することが可能である.しかし,理想値である 50% にはならないため,今後改良が必要な項目であると 考える.

評価項目 4 図 10 に評価項目 4 の結果であるチップ内 での GPUF 間のレスポンスに対するユニークを示す.図 9 及び図 10 の比較から,チップ内,チップ間に依存せ ず,同一のユニーク性が得られることがわかる.

評価項目 5 図 11 に評価項目 5 の結果である経年劣化 による BER の最大値を示す.ここでは,GG2 における cnt<sub>re</sub> = 7 の結果のみを示す.チップ間で特性にばらつ きがあるが,初期段階の加速で急速にエラーレートが増 加したあとはゆるやかに増加することがわかる.また, 336 時間の加速では15% を超えずに動作可能であること がわかる.一方で,図 11 からは,4章で述べた加速係数 が適切であれば,10 年などの長期間にわたり,鍵の再生 成なしで同一の鍵を使い続けることは困難であることが わかる.

#### 6 おわりに

本稿では、65nm CMOS プロセス上で試作した GPUF による鍵生成 LSI の性能評価結果を報告した.特に,本報 告では GPUF におけるグリッチ生成回路の構成と PUF の基本性能であるユニーク性と環境変化に対するロバス ト性の関係を中心に報告を行った.

我々の評価結果から、本試作で用いたプロセス上にお いては、GPUFのグリッチ生成回路として AES の Sub-Bytes 回路 2 段分と MixColums 回路がユニーク性とロ バスト性の観点から利用可能であることがわかった.

また, GPUFのパラメータの一つである安定ビットを 判別するための繰り返し回数とレスポンスの生成効率に ついてもその関係性を定量的に示した.

本稿では,評価の目的のために GPUF のデザインパ ラメータを外部から設定できる構成で LSI を開発した が,この方法は実用時にも有用であると考える.回路情 報の IP 化を想定した場合,製造プロセス毎にグリッチ 生成回路を調整することは開発コストが大きい.本構成 のように暗号回路などのモジュールをグリッチ生成回路 として利用することで,回路規模の増加を抑えつつ多様 なプロセスに対応可能な IP とすることが可能と考える. 今後は他のプロセスでの試作評価や、ユニーク性の改善及び設計段階における PUF のシミュレーション精度 向上を目的とした実測との誤差要因などを調査していく 予定である.

### 謝辞

本研究の一部は,JST-CREST「ディペンダブル VLSI システムの基盤技術」の研究の一環として実施しました. また,本チップ試作は株式会社トッパン・テクニカル・デ ザインセンター(株)イー・シャトルおよび富士通株式 会社の協力で行われたものです.関係各位に感謝いたし ます.

#### 参考文献

- R. S. Pappu: Physical One-way Functions. Ph.D. Thesis, M.I.T., http://pubs.media.mit.edu/ pubs/papers/01.03.pappuphd.powf.pdf, 2001
- [2] Y. Dodis, M. Reyzin, and A. Smith: Fuzzy Extractors: How to Generate Strong Keys from Biometrics and Other Noisy Data. Eurocrypt 2004, LNCS 3027, pp. 523-540, Springer-Verlag, 2004.
- [3] P. Tuyls and L. Batina: RFID-Tags for Anti-Counterfeiting. CT-RSA 2006, LNCS 3860, pp. 115-131, Springer-Verlag, 2006.
- [4] B. Gassend, D. Clarke, M. van Dijk, and S. Devadas: Silicon Physical Random Functions. Proc, of the 9th ACM Conference on Computer and Communications Security (CCS 2002), pp. 148-160, 2002
- [5] J. Guajardo, S. S. Kumar, G.-J. Šchrijen and P. Tuyls: FPGA Intrinsic PUFs and Their Use for IP Protection. CHES 2007, LNCS 4727, pp. 63-80, Springer-Verlag, 2007.
- [6] J.-W. Lee, D. Lim, B. Gassend, G. E. Suh, M. van Dijk, and S. Devadas: A Technique to Build a Secret Key in Integrated Circuits for Identification and Authentication Applications. Proc. of the IEEE VLSI Circuits Symposium, pp 176-179, 2004.
- [7] G. E. Suh and S. Devadas: Physical Unclonable Functions for Device Authentication and Secret Key Generation. Proc. of the 44th annual Design Automation Conference (DAC 2007), pp. 9-14, 2007.

- [8] S. S. Kumar, J. Guajardo, R. Maes, G.-J. Šchrijen and P. Tuyls: Extended Abstract: The Butterfly PUF: Protecting IP on every FPGA. Proc. of the IEEE International Workshop on Hardware-Oriented Security and Trust 2008 (HOST 2008), pp. 67-70, 2008.
- [9] M. Majzoobi, F. Koushanfar and M. Potkonjak, : Lightweight secure PUFs. Proc. of the IEEE/ACM International Conference on Computer-Aided Design (ICCAD 2008), pp. 670-673, 2008.
- [10] C. Bosch, J. Guajardo, A.-R. Sadeghi, J. Shokrollahi and P. Tuyls : Efficient Helper Data Key Extractor on FPGAs. CHES 2008, LNCS 5154, pp. 181-197, Springer-Verlag, 2007
- [11] R. Maes, P. Tuyls, and I. Verbauwhede : Low-Overhead Implementation of a Soft Decision Helper Data Algorithm for SRAM PUFs. CHES 2009, LNCS 5747, pp. 332-347, 2009.
- [12] D. Suzuki and K. Shimizu : The Glitch PUF: A New Delay-PUF Architecture Exploiting Glitch Shapes. CHES 2010, LNCS 6225, pp. 366-384, 2010.
- [13] K. Shimizu and D. Suzuki : Glitch PUF: Extracting Information from Usually Unwanted Glitches. IEICE Transactions on Fundamentals of Electronics, Communications and Computer Sciences, Vol. E95-A, No. 1, 2012.
- [14] D. Suzuki, K. Shimizu, T. Tsurumaru, T. Sugawara, M. Shiozaki and T. Fujino : Device Key Generator using Glitch PUFs. SCIS2012, 4C2, 2012 (in Japanese).
- [15] Standard Delay Format Specification version 3.0. http://www.eda.org/sdf/sdf\_3.0.pdf, 1995.
- [16] K. Shimizu, D. Suzuki, T. Tsurumaru, T. Sugawara, M. Shiozaki and T. Fujino : Unified Coprocessor Architecture for Secure Key Storage and Challenge-Response Authentication SCIS2013, 2012 (in Japanese).
- [17] K. Fruhashi, M. Shiozaki, A. Fukushima, T. Murayama and T. Fujino : The arbiter-PUF with high uniqueness utilizing novel arbiter circuit with Delay-Time Measurement. Proc. of the IEEE International Symposium on Circuits and Systems 2008 (ISCAS 2008), pp. 2325 - 2328, 2008.