Copyright© 2013 The Institute of Electronics, Information and Communication Engineers SCIS 2013 The 30th Symposium on Cryptography and Information Security Kyoto, Japan, Jan. 22-25, 2013 The Institute of Electronics, Information and Communication Engineers

# SRAM アクセスのサイドチャネル情報 Side-Channel Information associated with SRAM access

| 佐伯 税         | * 鈴木 大輔*       | 菅原 健*            |
|--------------|----------------|------------------|
| Minoru SAEKI | Daisuke SUZUKI | Takeshi SUGAWARA |

沙崎 充† 藤野 毅<sup>‡</sup> Mitsuru SHIOZAKI Takeshi FUJINO

**あらまし**SoC のサイドチャネルセキュリティを向上するためには,秘密情報に関る各構成要素が高 いサイドチャネルセキュリティを備える必要がある.代表的な IP コアの1つである SRAM は,SoC の構成要素として広く利用される.そこで本稿では TEG チップに搭載された SRAM のサイドチャネ ル評価を行い,SRAM のサイドチャネルセキュリティについてケーススタディした.高帯域の磁界プ ローブを用いた評価の結果,SRAM アクセス時のアドレスやデータとサイドチャネル情報の間に有意 な相関が確認された.特に,アドレスについては,アドレスの値と線形な興味深い依存性を確認した. 総消費電力を均一化して電力解析攻撃に対する対策を施したメモリであっても,空間分解能の高い電 磁波解析攻撃に対しては,アドレスに依存した情報リークが発生する危険性が高い.

キーワード サイドチャネル攻撃, SoC, CMOS, SRAM, CPU

# 1 はじめに

SoC(Systems-on-a-Chip)はシステムに必要な機能を1 チップに集積したシステム LSI であり, CPU, 各種メモ リ, 暗号コプロセッサなど, さまざまな構成要素から成 る. SoC のサイドチャネルセキュリティを向上するため には, 暗号コプロセッサはもちろん, 秘密情報に関る各 構成要素が高いサイドチャネルセキュリティを備えるこ とが求められる. このため, 秘密要素に関る構成要素と して既存 IP コアを利用する場合は, 事前にその IP コア の安全性を確認する必要がある. 該当する IP コアのう ち CPU については、例えば、文献[1]でオープンソース CPU のサイドチャネルセキュリティを体系的にケース スタディした結果が報告されている. SoC におけるもう 1 つの代表的な IP コアは SRAM である. もしも SRAM アクセス時のサイドチャネル情報と秘密情報の間に有意 な相関が存在すると、高いサイドチャネルセキュリティ を備えた特別な SRAM を新たに開発するか、または CPU や暗号コプロセッサの SRAM 利用方法に特別な考 慮が必要となる可能性がある.

SRAM は極めて一般的なコンポーネントであること から、これまでにいくつかの研究が知られている[2,3]. また、SRAM へのアクセスによる電力消費の差が、組み 合わせ回路と比較して少ないと信じられていることや [4]、実装制約の大きい CPU での対策を目的として、 SRAM のテーブル参照を元にした対策手法が多く提案 されている[4,5,6]. これらの研究の多くでは、SRAM 自 身のリークは無いものと前提を置くか、もしくは入出力 であるアドレスやデータのハミング重みモデルやハミン グ距離モデルによる抽象化を行っている. それに対し、

<sup>\*</sup> 三菱電機株式会社 情報技術総合研究所 〒247-8501 神奈川県鎌倉 市大船 5-1-1 Mitsubishi Electric Corporation, Information Technology R & D Center, 5-1-1 Ofuna Kamakura, Kanagawa, 247-8501, Japan.

<sup>†</sup> 立命館大学総合理工学研究機構 〒525-8577 滋賀県草津市野路東 1-1-1 Research Organization of Science & Engineering, Ritsumeikan University, 1-1-1, Nojihigashi, Kusatsu, Shiga, 525-8577, Japan.

<sup>‡</sup> 立命館大学大学院理工学研究科 〒525-8577, 滋賀県草津市野路東 1-1-1 Graduate School of Science and Technology, Ritsumeikan University, 1-1-1, Nojihigashi, Kusatsu, Shiga, 525-8577, Japan.

SRAM の内部構造にまで踏み込んだ解析を行っている ものは、文献[2]しか存在しない.また、文献[2]について も、攻撃者の視点でどこまで情報が取りうるのかという 解析はなされていない.もし、対策が要求する前提条件 が成立しなくなるのであれば、その対策は無効化される 可能性がある.そのため、SRAM 単体としてのリークの 挙動を調べることは重要である.

そこで本稿ではTEG チップを用いて、SRAM アクセ スに付随するサイドチャネル評価を行い、標準的な SRAM のサイドチャネルセキュリティについてケース スタディする.高帯域の磁界プローブを用いた評価の結 果,既存研究で想定されていたアドレス・データのハミ ング重み・距離に応じたリークに加え、行アドレスと列 アドレスそれぞれの値と線形な、従来知られていないリ ークが存在することを確認した.そのような未知のリー クは、前述の通り既存研究の前提条件を成立しなくさせ る危険性を持つものである.その具体例として、 Dual-Rail RSLメモリ方式[7]を適用したAES 暗号回路 に対して、このアドレス依存性を利用した電磁波解析攻 撃実験を行ない、総消費電力を均一化して電力解析攻撃 に対する対策を行ったメモリであっても、空間分解能の

高い電磁波解析攻撃に対しては、アドレスに依存した情報リークが発生する危険性が高いことを示す.

以下,まず2章では基礎実験として,標準的なSRAM のサイドチャネル情報のアドレス依存性とデータ依存性 を評価する.続く3章ではこれらの依存性に基いたSPA 的手法による攻撃可能性を評価する.また,4章では Dual-Rail RSLメモリ方式を適用したAES 暗号回路に 対する攻撃結果を示す.最後に5章でまとめと今後の課 題について述べる.

# 2 アドレス/データ依存性の評価

SRAM アクセス時のアドレスやデータがサイドチャ ネル情報と高い相関を持つと、サイドチャネル情報を解 析することで秘密情報またはその一部が漏洩する可能性 がある.単純な例では、鍵データなどの秘密情報の読み 書きや、Sbox などのテーブル参照が該当する.さらに、 アドレスやデータそのものが特定されなくても、異なる SRAM アクセスでそれらのコリジョンが検出可能であ れば、例えば、公開鍵暗号のべき乗剰余演算処理にとっ て脅威になり得る[8].そこで、本節では SRAM のサイ ドチャネル情報のアドレス/データ依存性を評価する.

なお, SRAM アクセスの有無やアクセスの種類 (リード/ライト) を識別されることが脆弱性につながるような システムもあり得るかも知れないが, これらについては 本稿では扱わない.

#### 2.1 SRAM 概要



図 1: 一般的な SRAM のメモリセル(上)と SRAM ブロックの基本構成(下)

図1(上)に一般的な SRAM のメモリセル(1ビット) を示す.メモリセルは、データを保持するための4個の トランジスタ(*M*<sub>I</sub>-*M*<sub>4</sub>) とデータのリード・ライトの ための2個のトランジスタ(トランスファーゲート)で 構成する.ワード線(*W*L)によってセルが選択され、 ビット線(*BL*, *BL*)を通じてデータのリード・ライト が行なわれる.SRAM ブロックは図1(下)のように、こ のメモリセルが2次元のマトリックス上に配列されたメ モリアレイと、セルの選択を制御するアドレスデコーダ、 入出力制御回路などが含まれる.

SRAM へのアクセスは次のように行う.外部から入力 したアドレスは,行アドレスと列アドレスに分割される. その後,行アドレスは行デューダに,列アドレスは列デ コーダに入力される.行デュードの結果,ワードライン のうち1本のみが有効化されて行が選択される.リード 時は,選択された行のデータが並列で読み出され,最後 に列デュードの結果によって1つの列が選択される.列 アドレスで選択された列のデータが SRAM ブロックの 出力データになる.ライト時には,列アドレスで選択さ れた列にデータが駆動され,行アドレスで選択された行 に書き込まれる.このように,行と列が一致したメモリ セルがリード・ライトの対象となる.

メモリアレイは非常に規則正しい構造であり、ワード 線やビット線は基本的に等間隔の並びとなっている. ど のようなアドレスでも行と列が各1つずつ選択されるが、 この規則性のため、選択される行や列によって電流経路 なども規則的に変わり、何らかの形でサイドチャネル情 報に反映する可能性がある.

#### 2.2 実験環境

TEG チップの外観を図 2 に示す. このチップは各種 スタンダードセル単体のサイドチャネル評価を可能とす るためにローム0.18 µm プロセスを用いて開発したもの で、サイズは 2.5mm 角である.本稿で評価する SRAM ブロックは図右下の矩形領域に配置されている. TEG チ ップに搭載されている SRAM ブロックはリード・ライ トのためのアドレスやデータのポートを 2 組備え、クロ ック同期で動作する 2 ポート SRAM であるが、基本的 な構造は図 1 と変わらない. この SRAM は 16 ビット× 512 ワードの構成で、リード・ライトなどの制御信号と、 アドレス (9 ビット)、入力データ (16 ビット)、出力デ ータ (16 ビット) のポートを持つ.アドレスの上位 6 ビットが行アドレス、下位 3 ビットが列アドレスである. TEG チップでは、SRAM にアクセスしないクロックサ イクルは、SRAM の入力データとアドレスを全て0 にプ



図 2: TEG チップ外観

| 表 1: 計測器      |                              |  |
|---------------|------------------------------|--|
| Instrument    | Specification                |  |
| Oscilloscope  | Bandwidth 12.5 GHz, Sampling |  |
|               | rate 25 GSa/s                |  |
| M-field probe | φ 500 μm, 2 MHz6 GHz.        |  |
| XYZ stage     | 50 to 100 µm resolution      |  |



図 3: 測定時のプローブ位置

#### リチャージしている.

実験に用いた評価プラットフォームはSASEBO-W と その上にマウントされたSASEBO-R2である.計測は, 開封したチップの近傍に設置した磁界プローブを用いて 行った.計測器の詳細を表1に示す.オシロスコープ のサンプリング周波数は25 GSa/s, TEG チップのクロ ック周波数は24 MHz とした.図3に示すように,測定 時のプローブ位置は図2のSRAMのほぼ真上とし,プ ローブの先端にあるコイルを,チップの絶縁膜に触れる まで降ろして行った.

SRAM アクセス時のリークは、データとアドレスのリ ークが複合したものとなるため、実験ではそれらの影響 を分離できるようなテストベクタを適当に選択した.ま た、テストベクタ当たり 1,000 波形ずつ測定を行い、そ の平均波形を用いて評価を行った.

#### 2.3 データ依存性

以降の解析では、波形のうち、特定の時刻(POI: Point of Interest)のデータを抽出して解析するということを 行う. POI は、全て基本的に SRAM アクセス中のグル ープ毎の平均波形間のばらつきが最大となる時刻とした [9]. 図 4 に、例として、リードのデータ依存性の POI と、POI 付近の波形を示す. 図 4(中)はグループ毎の平 均波形の重ね合せ、図 4(下)は各グループの平均波形と全 波形の平均波形の差分の重ね合せである.



図 4: 平均波形間の標準偏差(上),および POI 付近の平 均波形の重ね合せ(中)と差分波形の重ね合せ(下)

まず、リードとライトのデータ依存性を調べる. 結果 を図 5,6 にそれぞれ示す. これらは、横軸に読み出した (または書き込んだ)データの整数値、縦軸に対応する 平均電圧値をプロットしたものである. これは、 Collision Power Analysis において相関を求める対象と



なるデータに等しい.また,これは,実測に基づいて電 カモデルを推定した結果と解釈することもできる.図は 横軸がグループ分けしたデータで,縦軸は POI における 各グループの平均電圧値である.極性は逆になっている が,リード・ライトともに類似したパターンの繰り返し が現れている.このような形はハミングウェイトモデル が強く成立することを示唆する.図7,8は横軸を各グル ープのデータのハミング重みとして,図5,6をプロット しなおしたものである.この図から,SRAMのサイドチ ャネル情報のデータ依存性は主にデータのハミング重み によることがわかる.従って,サイドチャネル情報のデ ータ依存性 Ldata は,(1)式のようにモデル化できること が確認できた.

*L*<sub>data</sub> = *k* \* HW(*data*) + *bias* … (1) ここで, *k*は比例係数, *data*はリード・ライトのデータ, HW(X)はXのハミング重みである.これは,既存の結果 と同様のものである.

#### 2.4 アドレス依存性

次に, リードとライトのアドレス依存性を調査する. 結果を図 9,10 にそれぞれ示す.これは, 図 5,6 と同様 の図を, データではなくアドレスで行ったものである. 図は横軸がグループ分けしたアドレスで,縦軸は POI における各グループの平均電圧値である.ただし, アド レスは9ビットあるため,0から511まで表示している. リード・ライトともに全体的には大きく右下がりになっ



ている.この結果は、図5,6のデータ依存性の実験結果 と大きく異なっており、アドレスでは、ハミング重みと 異なるモデルが成立することを示唆している.図9,10



をさらに詳しく観察すると、64回分の細かい繰り返し パターンが現れていることが分かる.これは、2.1節で 述べた行アドレスが6ビットでアドレスの総数2^6=64 と一致する.そこで、行アドレスと列アドレスについて 個別にプロットしなおした(図11,12).この結果から、 サイドチャネル情報は行アドレスと列アドレスそれぞれ との依存性を持つことが分かる.図9,10は両依存性が複 合したもので、64個の細かい繰り返しパターンは、行ア ドレス依存性が現れたものである.一方、行アドレス依 存性の図には、列アドレスに依存しない8つの繰り返し パターンが確認できる.これは、行アドレスの上から3 ビット目の関与が特に強いためと考えられるが、現時点 ではその理由は不明である.

アドレス依存性の図に現れた傾向は、アドレスの「整数値」とサイドチャネル情報の間に、線形に見える関係 があることを表している.これは、行アドレスと列アド レスのそれぞれについても言える.また、アドレス依存 性には、データ依存性ほど顕著ではないが、ハミング重 み依存性も含まれることが図から確認できる.従って、 サイドチャネル情報のアドレス依存性 *Ladr* は次の式(2) でモデル化できる.

> $L_{adr} = k_0 * \operatorname{int}(R_adr) + k_1 * \operatorname{HW}(R_adr)$  $+ k_2 * \operatorname{int}(C_adr) + k_3 * \operatorname{HW}(C_adr)$  $+ bias \qquad \cdots (2)$

ここで、 $k_n$ は比例係数、 $R_adr$ 、 $C_adr data$ はそれぞ



図13:アドレス依存性のモデル化(上:リード,下:ライト)

れ行アドレスと列アドレス, HW(X)はハミング重み, int(X)は整数値を表す.本モデルの妥当性を検証するた めに,図9,10のグラフに,(2)式をフィッティングする. 具体的には、計測データを元に、(2)式の比例係数 ko-ka と bias を、重回帰分析で求めるということを行った. 図 9.10に合わせてフィッティングしてLadrをプロットした 結果を図 13 に示す. 図の青線は実チップの結果, 黒線 が(2)式によるフィッティング結果、赤線は(2)式からハミ ング重みの項を除いてフィッティングした結果である. 図には一部の拡大図も示したが、線形の項のみを用いた 赤線も実チップの結果を良く近似している. さらに, ハ ミング重みを加味することでより実チップの結果と一致 することがわかる. 攻撃者の視点からは、以上の結果よ り、式(2)を電力モデルとして使用することで、電力モデ ルを使用する攻撃(CPA や MIA)を高精度化できる可能 性がある. その場合, プロファイリングにより ko-ka を 求めることもできるし、プロファイリング無しで、ko=1, k=k=k=bias=0と近似する場合でも、ハミングウェイ トモデルよりもよく当てはまる可能性がある.

サイドチャネル情報とアドレスの値の間に線形な関係 が現れる原因は判明していないが、等間隔に並んだワー ド線やビット線の距離関係が何らかの関与をしている可 能性がある.線形性に関するもう1つの興味深い結果を 図14に示す.この図は磁界プローブ位置を0.1mm ずら して測定を行い、同じ POI での行/列アドレス依存性 (ライト)を図12 と同様に表示したものであるが、行 アドレス依存性の傾きが図12 と逆になっている.この 結果は、特定の信号ラインを流れる電流が、アドレス依 存性と深く関っていることを示唆している.

#### 3 Collision Power Analysis

前節の冒頭で述べた通り,異なる SRAM アクセスで アドレスやデータのコリジョンが検出されると脅威にな



図 13: 異なるプローブ位置での行/列アドレス依存 性(ライト)

り得る.本節では前節で示したサイドチャネル情報のア ドレス依存性やデータ依存性を利用したコリジョン検出 可能性に関する基礎実験結果を示す.実験環境は前節の ものと同一である.

## 3.1 アドレスコリジョン

アドレスコリジョンの基礎実験として、 列アドレスの 最上位ビットを1に固定した256ワード分の各アドレス に0と255のデータを読み書きする2つの波形セット (アドレス毎に1,000 波形分の平均波形)を用意し,波 形セット間の SRAM アクセスタイミングの波形形状の 相関をアドレス毎に評価した.具体的には、POIを含む 同じ時間区間の2つの波形データ同士の相関係数を計算 し、アドレスの組別にその値の分布を調査した. POI に おける平均電圧値のみを用いなかったのは、時間軸上の 1 点だけでは、ノイズなどの影響により、コリジョン検 出が極めて困難であったためである. 図 14 にライト同 士のアドレスコリジョン評価結果を示す. 図 14(上)は, 横方向が対象アドレス(0のデータをライト)、縦方向が 候補アドレス(255のデータをライト)で、波形セット 間の波形形状の相関係数を表したものである. 高い相関 係数ほど濃い暖色で表現している. 図の左上から右下へ の対角線上に濃い暖色が集中するほど、2 つのアドレス が等しい、または近いことが識別し易くなる.また、図 14(下)は相関係数の確率分布を示すもので、横軸は相関 係数、縦軸は確率密度である、青線は、アドレスが一致 する 256 通りの組合せの相関係数の分布,赤線はアドレ スが一致しない 65280 通りの組合せの分布である. どち らからも、アドレス一致時の相関係数は高い値に集中し ており、ライト同士のアドレスコリジョン検出が現実的 な脅威になり得る可能性がある. これは、前節で示した アドレス値とサイドチャネル情報間の線形な相関が大き く関係している.

紙面の都合により省略するが、リード同士のアドレス



図 14: ライト同士のアドレスコリジョン評価結果(上:相 関係数マトリックス,下:相関係数の確率密度)

コリジョンも上記とほぼ同様の結果であった.また、リ ード・ライト間については、TEG チップはリードとライ トで波形形状や POI における平均電圧値が大きく異な っていたため、今回の方法では、コリジョン検出はほぼ 不可能であった.

#### 3.2 データコリジョン

データコリジョンについてもアドレスコリジョンとほぼ同様の基礎実験を行なった.アドレス空間の先頭と末尾に、0から255の各データを読み書きする2つの波形セット(アドレス毎に1,000波形分の平均波形)を用意し、波形セット間のSRAMアクセスタイミングの波形形状の相関をデータ毎に評価した.図15にライト同士のアドレスコリジョン評価結果を示す.

図15の見方は、図14と同様である.前節で示したように、サイドチャネル情報のデータ依存性は、主にデータのハミング重みとの相関であるため、ハミング重みが近いデータ同士の区別が非常に困難であることが図から分かる.ライト同士のデータコリジョンもほぼ同様の結果であった.また、リード・ライト間はアドレスコリジョンと同様に、今回の方法では、コリジョン検出はほぼ不可能であった.

# 4 Dual-Rail RSL メモリ方式を適用した AES 暗号回路に対する攻撃

文献[7]で提案された AES 暗号回路は, AES の Sbox を Dual Rail RSL メモリとしてとして実装している. Dual Rail RSL メモリは, アドレスやデータに依存した リークを防ぐことを目的として,入力アドレスのランダ





ムマスク, 及び ROM 内の 2 線化により, DPA 耐性の向 上を図ったものである. なお, SRAM ではなく ROM で あるが,図1に示したような,行・列構造を有する.本 節では,我々が設計・試作を行った文献[7]のチップを用 い,SRAM のアドレス依存性評価と AES の鍵探索を行 なった結果を報告する. このチップの Dual Rail RSL メ モリの行アドレスは6 ビット,列アドレスは2 ビットで ある. 評価対象の AES 暗号回路は,16 個の Sbox に対 応する 16 個の Dual Rail RSL メモリを有する. 計測器 は 2.2 節で示したものと同じである.

# 4.1 アドレス依存性

まず, Dual Rail RSL メモリのアドレス依存性を検証 する. 計測した 20,000 枚の計測波形に対し,これまで と同様の方法で POI を定めた. その後, POI における 電圧値を, (鍵が既知の条件の下で) SubBytes 入力で グループ分けして平均値を求めた. それは, SubBytes 入力が Dual Rail RSL メモリのアドレスに入力されるた めである.

図16に、16個ある Dual Rail RSL メモリのうち1つ に関するアドレス依存性評価結果を示す.4つのノコギ リ上の大きな繰り返しパターンが確認でき、その周期は 64である.このようなパターンは、アドレスの上位2 ビットによって引き起こされており、それは前述の通り 列アドレスに対応する.一方、下位6ビットについては、 (ハミング重みではなく)整数表現した値と線形である ことが分かる.この結果は、列アドレス依存性は無いも

(ハミング重みではなく)整数表現した値と線形である ことが分かる.この結果は、列アドレス依存性は無いも のの、2.4節の結果と良く整合する(これまでの結果と のグラフの見えの違いは、行アドレスと列アドレスのい



図 16:1 つの Sbox のアドレス依存性

ずれが最上位ビット側かのエンコードの違いによる).行 アドレスの整数表現は、選択されたワード線の物理位置と なっており、電磁波解析によって活性化されたワード線の 情報がリークしていると判断できる.また、列アドレス依 存性が無いのは列アドレスでは、ビット線上に並列に読み だされたデータを局所的なコラムデコーダで選択してい るだけで、メモリアレイの動作は列アドレスに依存してい ないためであると考えている.

2.4 節の通常の SRAM の実験結果で列アドレス依存 性があったのは通常の SRAM ではアドレス線の充放電 依存性があるためであると考えられる.一方 Dual Rail RSL メモリでは入力アドレスには乱数マスク,メモリ内 のデコーダ回路では、2線相補動作が行われ電力の均一 化が行われているため、電磁波解析によって、メモリア レイの動作だけを理想的に抽出できたのではないかと考 えられる.

以上は、ある1つのSboxの結果であるが、多くのSbox で同様の傾向が確認できている.ただし、別のSboxで は、図17に示すように極性が逆転する.これは、2.4節 の最後で示した現象と極めて類似しており、磁界プロー ブのコイルとSboxの位置関係によるものと考えられる.



図 17: 別の1つの Sbox のアドレス依存性

#### 4.2 鍵探索結果

鍵が未知の条件で CPA を適用し, 鍵抽出を行った. その際, プロファイリングは不可能だが SRAM の構造 について事前知識を持つ攻撃者を想定し,従来とは異な



図 17:10 ラウンド目の解析における,波形数と相関値の遷移.黒線:正解鍵,灰線:その他

る電力モデルを使用した. すなわち, (2)式において, ko=1, kn=ka=bias=0 とするモデルにより予測電力値を算出 した. 10 ラウンド目の鍵探索を行なった結果を図 17 に 示す. 図は, 16 個の Sbox に対応する MTD グラフであ る. 灰色が誤った予測, 黒色が正しい予測における相関 値である. 横軸は波形数であり, その変化に応じた相関 値の遷移を表現している. 図より, 攻撃が成功しており, 正しい候補が, ほかの候補から識別できている様子が読 み取れる. また, 極めて高い相関を得ており, およそ 1,000 波形で全体の半数のバイトが識別できている. Sbox によって難易度が大きく変化する挙動については, 磁界プローブと Sbox の相対位置関係によるものと考え られる.

攻撃が成功したのは、4.1節で示した Dual Rail RSL メモリのアドレス依存性による. ROM による Dual Rail RSL メモリでも、2.4節の SRAM と同様の結果が得ら れたことから、このアドレス依存性が、行・列によるメ モリ構造に起因するものと考えられる.

# 5 まとめ

本稿では、SoC で広く利用される IP コアの1つであ る SRAM のサイドチャネル評価を行った.評価の結果、 SRAM のサイドチャネル情報はアドレスやデータと特 徴的な相関を示し、特に、アドレスについては、行アド レスと列アドレスそれぞれの値と線形な、従来知られて いない依存性が存在することを確認した.これは、メモ リマクロの規則正しい行列構造に起因するものと考えて いる.システムによってはこの点に注意をした設計が必 要である.今回発見したリークの、既存対策法への影響 も検討する必要がある.

今後は今回用いた SRAM 以外の SRAM の評価や, 攻 撃に使える波形数と攻撃成功確率の関連などを調査して いく予定である. システムの基盤技術」の一環として実施した.また、本 研究に用いたチップの試作は、VDECならびにローム株 式会社の支援により行われたものである。

### 参考文献

 [1] 佐伯,鈴木,菅原"オープンソース CPU のサイドチャ ネル評価," 2009 年暗号と情報セキュリティシンポジウ ム, SCIS2009

[2] E. Konur, Y. Özelçi, E. Arikan, and U. Eksi, "Power analysis resistant SRAM", WAC 2006.

[3] S. Shah, R. Velegalati, J.P. Kaps, D. Hwang, "Investigation of DPA Resistance of Block RAMs in Cryptographic Implementations on FPGAs", ReConFig 2010.

[4] E. Prouff, M. Rivain, "A generic Method for Secure SBox Implementation", WISA 2007.

[5] H. Maghreb, E. Prouff, S. Guilley, and J.-L. Danger, "A First-Order Leak-Free Masking Countermeasure", CT-RSA 2012.

[6] M. L. Akkar, C. Giraud, "An Implementation of DES and AES Secure against Some Attacks", CHES 2001.

 [7] 橋本,岩井,汐崎,淺川,鵜飼,藤野, "Dual-Rail RSLメ モリ方式を適用した AES 暗号回路の設計および DPA 耐 性評価,"2012 年暗号と情報セキュリティシンポジウム, SCIS2012

[8] N. Hanley, H. Kim, and M. Tunstall, "Exploiting Collisions in Addition Chain-based Exponentiation Algorithms", Cryptology ePrint Archive, Report 2012/485, 2012-08-22

[9] A. Moradi, O. Mischke, and T. Eisenbarth. Correlation-Enhanced

Power Analysis Collision Attack. In CHES 2010, volume 6225 of

LNCS, pages 125-139. Springer, 2010.

## 謝辞

本研究の一部は、JST CREST「ディペンダブル VLSI