Copyright© 2013 The Institute of Electronics, Information and Communication Engineers SCIS 2013 The 30th Symposium on Cryptography and Information Security Kyoto, Japan, Jan. 22- 25, 2013 The Institute of Electronics, Information and Communication Engineers

# 電力・電磁波解析攻撃におけるオンチップ・キャパシタの影響評価 Evaluation of On-chip Capacitor's effect on Power/Electromagnetic Analysis Attacks

中井 綱人\* 汐崎 充† 藤野 毅\* Tsunato Nakai Mitsuru Shiozaki Takeshi Fujino

**あらまし**暗号回路の動作時に発生する消費電力や漏洩電磁波を用いることで、その暗号デバイスの 秘密鍵情報を窃取するサイドチャネル攻撃の脅威が報告されている.ボード上に実装したデカップリ ングキャパシタは、サイドチャネル攻撃の一種である電力解析攻撃に対する防御対策となると報告さ れているが、チップ外に取り付けられたキャパシタは取り外し可能であり、抜本的な攻撃防止対策と はならない.そこで、チップ内に意図的に大容量のデカップリングキャパシタ(オンチップ・キャパ シタ)を実装した AES 暗号チップと、回路レイアウトは全く同一であるがオンチップ・キャパシタを 実装していない AES 暗号チップを試作し、電力解析攻撃と電磁波解析攻撃を各チップに行ってオンチ ップ・キャパシタが与える影響を実測評価した.その結果、電力解析攻撃ではハミングディスタンス 型の CPA 攻撃が有効であり、オンチップ・キャパシタ付きチップでは攻撃に必要な波形数が増加して いることから、攻撃耐性は向上していることが確認できた.一方、電磁波解析攻撃ではハミングウェ イト型の CEMA 攻撃が有効であり、電力解析攻撃の場合とは逆にオンチップ・キャパシタ付きチップ の方がより少ない波形数で攻撃できることがわかった.電磁波解析攻撃に関しては、プローブの種類 や位置依存性も含めて実験を行ったので、評価結果と考察について報告する.

#### キーワード サイドチャネル攻撃, 電力解析, 電磁波解析, AES, CPA, CEMA,

#### 1 はじめに

近年,暗号アルゴリズムは理論的に安全であっても, 暗号デバイスの動作時に発生する消費電力や漏洩電磁波 といった二次的情報を用いて,その暗号回路の秘密鍵情 報を窃取するサイドチャネル攻撃が脅威とされている. サイドチャネル攻撃の一種である電力解析攻撃は 1999 年に Kocher らにより提案され,暗号回路内部のノード 情報はその動作時に発生する消費電力との相関があるこ とに着目した攻撃手法である[1].電力解析攻撃は,攻撃 性能の高さに加えてオシロスコープやパソコンといった 比較的導入コストが安価な装置で容易に行えるため,危 険性が指摘されている.また,電磁波解析攻撃は,2001 年に Grandolfi らにより提案され,暗号回路内部のノー ド情報はその動作時に発生する漏洩電磁波との相関があ ることに着目した攻撃手法である[2].電磁波は、アンペ ールの法則から電流の周囲に発生し、その大きさは電流 とその電流からの距離で決められる.つまり、測定位置 が一定なら電流の大きさを見られることから、電力解析 攻撃と同じように攻撃が可能である.電磁波解析攻撃は、 測定位置が自由であるため暗号処理部近傍での攻撃がで きると危惧されているが、一般的に電力解析攻撃と同じ 対策で十分だと考えられてきた.

電力解析攻撃に対する対策として、内部情報と消費電 力との相関を低減するデカップリングキャパシタを用い た対策が効果的であると報告されている[3].しかし、こ の対策は、チップ外にデカップリングキャパシタを搭載 することから、取り外しが可能であり根本的な対策にな っていないのが現状である.そこで、取り外し出来ない ように、チップ内に大量のデカップリングキャパシタを 意図的に搭載したオンチップ・キャパシタ付き AES 暗 号回路を試作した.そして、試作したオンチップ・キャ パシタ付き AES 暗号回路に対して、電力・電磁波解析 攻撃を行い、オンチップ・キャパシタの与える影響につ

<sup>\*</sup> 立命館大学理工学部,〒525-8577, 滋賀県草津市野路東 1-1-1, Department of Science and Engineering Ritsumeikan University, 1-1-1 Nojihigashi, Kusatsu, Shiga, Japan,

<sup>1-1-1</sup> Nojihigashi, Kusatsu, Shiga, Japan, mshio@fc.ritsumei.ac.jp

いて評価した.その結果,電磁波解析攻撃は電力解析攻 撃とは異なる攻撃結果が得られた.本論文では,電磁界 プローブの種類やプローブ位置[4,5]に関する検討も加 えた実測評価結果と考察を報告する.

本論文の構成は以下の通りである.第2章では試作し たオンチップ・キャパシタAES暗号回路について述べ, 第3章では攻撃評価手法と実験環境について述べる.そ して,第4章でオンチップ・キャパシタが電力・電磁波 解析攻撃に与える影響について実測評価した結果を示す. 第5章では電磁波解析攻撃について電磁界プローブ位置 の依存性や電磁界プローブの種類による効果について報 告する.最後に,第6章ではまとめと今後の課題を述べる.

# 2 オンチップ・キャパシタ付き AES 暗号回路

本稿で評価するチップは、180nm CMOS プロセスで 設計・試作した AES 暗号回路である(図1参照). 試作 チップには Sbox をテーブル方式で実装した未対策 AES 暗号回路と、合成体方式で実装した AES 暗号回路が搭 載されている. 図2のレイアウト図に各回路がどこに配 置されたかを示す. テーブル方式の AES 暗号回路はチ ップ左上に配置され、合成体方式の AES 暗号回路がチ ップ右下に配置されているのがわかる. 特に、今回評価 する暗号化処理回路 (ENC) はチップの角に配置されて いる.

この未対策 AES 暗号チップと全く同じレイアウトを 使用し,大量のデカップリングキャパシタを意図的に搭 載した AES チップも試作した.今後,この回路をオン チップ・キャパシタ付き AES 暗号回路と呼ぶ.未対策 AES チップとオンチップ・キャパシタ付き AES チップ の変更点は,フィラーセルを MOS 容量付きフィラーセ ルに置き換えたことと,IO セルと回路を囲っている電源 グランドとの間に MOS 容量を挿入した点である.全て 合わせておよそ 1nF の容量が付く見積りである.



図1 試作した AES 暗号チップ写真



図2 試作AES暗号チップのレイアウト図

#### 3 攻撃評価手法と実験環境

本章では試作した未対策 AES 暗号回路とオンチッ プ・キャパシタ付き AES 暗号回路に対して行った攻撃 手法と攻撃評価を行った実験環境についてまとめる.

#### 3.1 攻撃評価手法

未対策 AES 暗号回路とオンチップ・キャパシタ付き AES 暗号回路に行う電力解析攻撃手法として消費電力 と内部状態の相関係数を用いて秘密鍵情報を解析する相 関電力解析 (Correlation Power Analysis: CPA) [6]を, 電磁波解析攻撃手法として相関電磁波解析 (Correlation Electromagnetic Analysis: CEMA)を用いて評価した. 攻撃ラウンドは最終 10 ラウンド目,使用波形数は 1 万 とした (図 3 参照).評価に使用した CPA と CEMA は, Sbox 回路の入力値"1"のビット数を見るハミングウェイ ト型 (HW) とレジスタのビット遷移数を見るハミング ディスタンス型 (HD) についてそれぞれ評価しており, これ以降 HW/HD-CPA, HW/HD-CEMA と記載する.



図3 AES 回路の構成

#### 3.2 攻撃評価環境

攻撃評価を行った実験環境についてまとめる.電力解 析攻撃と電磁波解析攻撃共にサイドチャネル攻撃標準評 価基板 SASEBO-RII [7]を使用,オシロスコープは Agilent 社 DSO9104A を使用した.サンプリングレート 20GSa/s,帯域幅 1GHz である.電力解析攻撃はグラン ド側の消費電力波形を測定して行った.電磁波解析攻撃 には森田テック社の EMC スキャナ WM7400,電磁界プ ローブとして水平円形コイル型の HC010 及び HC020 と垂直扁平コイル型の VF010,アンプとしてゲイン 50dB,周波数レンジ 10-1000MHz の LNA- 1050 を使 用した.電磁波解析攻撃を行った実験環境を図4に示す. 使用した各電磁界プローブの測定分解能は,それぞれ HC010 が 0.35mm, HC020 が 0.55mm, VF010 が 0.10mm である.以上の実験環境を表1にまとめて示す.

| 表 1 | 攻撃評価の環境 |
|-----|---------|
| N I |         |

|         | Agilent DSO9104A |               |        |         |
|---------|------------------|---------------|--------|---------|
| オシロスコープ | サンプリングレート        | 20GSa/s       |        |         |
|         | 帯城幅              | 1GHz          |        |         |
| 電力解析攻擊  | グランド側            |               |        |         |
|         | EMCスキャナ          | <b>WM7400</b> |        |         |
|         | 電磁界プローブ          |               |        |         |
|         | コイル形状            | 水平円形コイル       |        | 垂直扁平コイル |
| 金球洋型卡子製 |                  | HC010         | HC020  | VF010   |
| 电做波阱研火擎 | 分解能              | 0.35mm        | 0.55mm | 0.10mm  |
|         | アンプ(LNA-1050)    |               |        |         |
|         | 周波数範囲            | 10-1000MHz    |        |         |
|         | ゲイン              | 50dB          |        |         |



図4 電磁波解析攻撃の実験環境

# 4 オンチップ・キャパシタが電力・電磁波解 析攻撃に与える影響

本章では未対策 AES 暗号回路とオンチップ・キャパ シタ付き AES 暗号回路に電力解析攻撃及び電磁波解析 攻撃を行った結果について述べる.

# 4.1 オンチップ・キャパシタと電力解析攻撃

電力解析攻撃における未対策 AES 暗号回路とオンチ ップ・キャパシタ付き AES 暗号回路の評価結果を示す. はじめに,実測した電力波形を図5と図6に示す.図5 が未対策 AES 暗号回路(キャパシタ無し)の実測波形 で,図6がオンチップ・キャパシタ付き AES 暗号回路 の実測波形である.Sboxの実装方式は共に合成体方式で ある.未対策 AES 暗号回路と比較すると,オンチップ・ キャパシタ付き AES 暗号回路の消費電力波形は平滑化 されており,キャパシタを追加した効果が明らかに見て 取れる.



図5 未対策AES(キャパシタ無し)の実測波形



図6 オンチップ・キャパシタ付き AES の実測波形

HW/HD-CPA を行った結果を図7と図8に示す.図7 は未対策AES 暗号回路(キャパシタ無し)における CPA 攻撃結果で、図8はオンチップ・キャパシタ付きAES 暗号回路における CPA 攻撃結果である.各 CPA 攻撃結 果は1万波形で解析できた部分鍵の数の遷移を示してお り、縦軸は解析できた部分鍵の数(全16Byte)、横軸は 解析に用いた波形数(最大1万波形)である.ここで、 TBL はテーブル方式実装,CMP は合成体方式実装を意 味する. 図 7 から、キャパシタ無しの場合、テーブル方式は 1,000 波形程度でHD-CPAにより全ての秘密鍵が判明す ることがわかる.合成体方式もテーブル方式には劣るが 5,000 波形程度でHD-CPA により全鍵が判明している. HW型の攻撃は両実装方式ともHD型ほどの効果が無く、 鍵解析により多くの波形数を必要としていることがわか る.図8から、オンチップ・キャパシタを挿入すること により全ての攻撃において鍵解析に必要な波形数が増え ており、オンチップ・キャパシタの効果により攻撃が難 しくなっていることが明らかにわかる.このことから、 電力解析攻撃に対してデカップリングキャパシタは多少 なりとも対策になっている.



#### 図7 未対策 AES (キャパシタ無し)の CPA 攻撃結果



図8 オンチップ・キャパシタ付き AES の CPA 攻撃結果

### 4.2 オンチップ・キャパシタと電磁波解析攻撃

次に、電磁波解析攻撃におけるオンチップ・キャパシ タの効果を調べた結果を示す.測定条件を合わせるため、 電磁界プローブには水平円形コイル型 HC020 を使用、 電磁界プローブ位置をチップ中心に設定して測定を行っ た.1 万波形で解析できた部分鍵の数の遷移を図 9、図 10 に示す.図 9 は未対策 AES 暗号回路(キャパシタ無 し)における CEMA 攻撃結果で、図 10 はオンチップ・ キャパシタ付き AES 暗号回路における CEMA 攻撃結果 である.

図 9 から、未対策のテーブル方式 AES は 1 万波形で HD-CEMA により 11 バイト、HW-CEMA により 6 バ イトの部分鍵が解明された. 未対策の合成体方式 AES は 1 万波形で HD-CEMA により 4 バイト、HW-CEMA により 3 バイトの部分鍵が判明した.

ー方で、オンチップ・キャパシタ付きのテーブル方式 AES では1万波形でHD-CEMAにより11バイトと未 対策と変わらなかったのに対して、HW-CEMAでは 5,000波形で16バイト全ての秘密鍵が解明された.合成 体方式AESに関してもHD-CEMAにより1バイトと減 少しているのに対して、HW-CEMAでは1万波形で6 バイトと解析された部分鍵の数が増えている.

以上の結果より、電磁波解析攻撃では、デカップリン グキャパシタにより HD 型の攻撃は変わらない、もしく は攻撃困難になっているのに対して、HW 型の攻撃はデ カップリングキャパシタを挿入した方が攻撃しやすくな っていると言える。特に、注目すべきは1バイトの部分 鍵が判明するのに必要な波形数である。HW 型の攻撃は 電力解析攻撃と比較しても少ない波形数で鍵解析ができ ており、測定箇所によって非常に脅威となると考えられ る。そこで、次の5章では電磁界プローブの位置依存性 と電磁界プローブの差異に関して電磁波解析攻撃の追加 実験を行った結果について報告する。



## 図 9 未対策 AES (キャパシタ無し)の CEMA 攻撃結果

![](_page_3_Figure_13.jpeg)

![](_page_3_Figure_14.jpeg)

# 5 電磁波解析攻撃における電磁界プローブと プローブ位置の効果

本章では、電磁波解析攻撃の特性を調べるために、電 磁界プローブの測定位置と電磁界プローブの種類によっ て攻撃結果に与える影響を示す.

#### 5.1 電磁界プローブの位置依存効果

まず,電磁界プローブ位置の関係性を調べた.実験には,未対策AES暗号回路に対して水平円形コイル型 HC020を使用して行った.測定位置は図11に示す4カ 所で測定を行い,比較評価を行った.

![](_page_4_Picture_4.jpeg)

図 11 測定位置

テーブル方式 AES が集中している位置 A (チップー テーブル) での CEMA 攻撃結果を図 12, 合成体方式 AES が集中している位置 B (チップー合成体) での CEMA 攻撃結果を図 13 に示す. 位置 A ではテーブル方 式が 5,000 波形で HD-CEMA により全ての鍵が解明し, 容易に攻撃できているが, 合成体方式は攻撃困難である. 逆に, 位置 B ではテーブル方式が攻撃困難であるのに対 して, 合成体方式が 2,000 波形で HD-CEMA により全 ての鍵が判明している.

チップ中心位置での CEMA 攻撃結果(図 9)と比較 すると明らかに HD 型の攻撃効率が上がっている.そこ で, AES 暗号回路の中でもラウンドレジスタが,どこに 配置されているのかを調べた.ラウンドレジスタの配置 場所を示したレイアウト図を図 14 に示す.今回測定し た位置Aと位置Bはおよそラウンドレジスタの直上であ るため、レジスタの遷移情報が取得しやすく HD 型の解 析効率が上昇したと考えられる.電磁界プローブ位置を 測定位置(A, B)から少しずらすとクロックに同期する 波形ピークが下がることからも推測できる.以上の結果 より、電磁波解析攻撃は電磁界プローブの位置とレイア ウト、特にプローブ直下にどのような回路が配置されて いるかに大きく依存することがわかる.

![](_page_4_Figure_8.jpeg)

![](_page_4_Figure_9.jpeg)

![](_page_4_Figure_10.jpeg)

![](_page_4_Figure_11.jpeg)

図 14 ラウンドレジスタの位置

次に、テーブル方式 AES が集中する位置に近い電源・グランドパッドに接続しているボンディングワイヤ 上の位置 C(ボンディングワイヤーテーブル)での CEMA 攻撃結果を図 15、合成体方式が集中する位置に 近いボンディングワイヤ上の位置 D(ボンディングワイ ヤー合成体)での CEMA 攻撃結果を図 16 に示す. 位置 A, B の評価結果と同じ傾向であるのが、テーブル方式 AES が集中している箇所に近い位置 C ではテーブル方 式が攻撃しやすく,逆に合成体 AES が集中している箇 所に近い位置 D では合成体方式が攻撃しやすい点であ る.しかし,位置 A, B の評価結果と異なるのは,位置 D でもテーブル方式の方が合成体方式よりも少ない波形 数で多くの秘密鍵が解明している点である.この傾向は 電力解析攻撃で得られた結果(図7参照)に近く,チッ プ全体の消費電流が各ボンディングワイヤに流れ,そこ から発生する漏れ磁場を測定していると考えれば,ある 程度説明付くと考えられる.

![](_page_5_Figure_1.jpeg)

図 15 位置 C (ボンディングワイヤーテーブル) におけ る CEMA 攻撃結果

![](_page_5_Figure_3.jpeg)

図 16 位置 D (ボンディングワイヤー合成体) における CEMA 攻撃結果

以上より、ボンディングワイヤからの漏れ磁場は消費 電力と相関がある程度あり、電力解析攻撃対策を施せば 電磁波解析攻撃にも有効であると考えられる.しかし、 チップ直上における電磁波解析攻撃は電力解析攻撃とは 異なり、電磁界プローブ近傍でどのような回路が処理し ているかレイアウトに大きく依存するため、場合によっ ては非常に脅威であると考えられる.

#### 5.2 電磁界プローブの効果

使用する電磁界プローブの差異が電磁波解析攻撃に与 える効果を調べるため、未対策の合成体方式 AES に対 して CEMA を行った.電磁界プローブ位置は位置 B に 固定した. まず,水平円形型コイルにおいて位置分解能の違いが CEMA 攻撃に与える影響を調べた.比較した電磁界プロ ーブは HC020(位置分解能 0.55mm)と,それよりも 位置分解能が 0.35mm と小さい HC010 である.比較結 果を図 17 に示す.HD-CEMA に関しては位置分解能が 大きい HC020 の方が 2,000 波形と少ない波形数で全て の秘密鍵が解明できた.しかし,HW-CEMA は位置分 解能が小さい HC010 の方が同じ波形数でも解明してい る部分鍵の数が多く有効であるとの結果が得られた.単 純に位置分解能が大きければ(もしくは,小さければ) 電磁波解析攻撃に有効であるとは全く言えない.電磁界 プローブが測定できる範囲と,その範囲内でどのような 回路が動作しているのかに大きく関係していると思われ るので,今後,レイアウトと合わせて実験評価を繰り返 して原因を追求していきたい.

![](_page_5_Figure_9.jpeg)

図 17 水平円形コイルの分解能が CEMA 攻撃に 与える影響

次に、電磁界プローブを垂直扁平コイル型に変えて評 価を行った. 使用プローブは VF010 である. 垂直扁平 コイルは水平円形コイルと異なり、コイルの向きによっ て取得できる磁場が異なるので、図 18 に示すようにプ ローブ向き0度と90度の2通りでCEMAを行った.結 果を図 19 に示す. ここでプローブ向き 0 度のときの HD/HW-CEMA 結果を HD/HW 0 とし、 プローブ向き 90 度のときの HD/HW-CEMA 結果を HD/HW 90 とす る. 電磁界プローブの向きが縦の8本通している電源グ ランドラインに合わせた90度のときCEMA 攻撃ができ ており、そこから 90 度回転させた 0 度ときには CEMA により1バイトの部分鍵も解明できていない.従って, 電源ラインやグランドラインに電流が流れた際の漏れ磁 場が情報漏洩に繋がっていると考えられる.また、水平 円形コイルの結果(図13)と比較すると鍵の解析速度が 異なり、HW型の攻撃では垂直扁平コイルの方が多くの 鍵解析に成功している点は興味深い. 今回はその点に関 して考察、追加実験できなかったが、今後調査する予定 である.

![](_page_6_Figure_0.jpeg)

図18 垂直扁平コイルによる測定位置

![](_page_6_Figure_2.jpeg)

![](_page_6_Figure_3.jpeg)

## 6 まとめと今後の課題

オンチップ・キャパシタが電力・電磁波解析攻撃に与 える影響を調べるため、回路レイアウトは同一でオンチ ップ・キャパシタのみを挿入した試作 AES 暗号チップ に対して CPA 攻撃, CEMA 攻撃を行った.また、電磁 波解析攻撃に関しては電磁界プローブ位置や使用プロー ブに大きく依存するため、その効果を実測により調べた. 今回行った実測評価結果より以下のことがわかった.

- 電力解析攻撃の対策として、完全ではないがオン チップ・キャパシタは有効である。
- ・ 電力解析攻撃は、キャパシタの有無に関わらず HD型の方が攻撃しやすい.
- 電磁波解析攻撃に対してオンチップ・キャパシタ は対策にならない。
- ・ 特に, HW 型の電磁波解析攻撃に対してはオンチ ップ・キャパシタにより情報リーク量が増える.
- チップ直上における電磁波解析攻撃では、プロー ブ近傍での処理情報を効率がよく取得でき、非常

に脅威である.

- ボンディングワイヤからの漏れ磁場を用いた電磁 波解析攻撃は電力解析攻撃と関係性がある.
- ・ 電磁界プローブの位置分解能によって解析結果が 異なる.
- ・ 垂直扁平コイル型の電磁界プローブは向きによっ て攻撃結果が異なる.電源・グランドラインにコ イルの向きを合わせて攻撃を行うと有効である.

今回の実験を通して、電力解析攻撃では全く見えない 情報リークが電磁波解析攻撃によって窃取できることが わかった.しかし、その原因は明確に追求できておらず 多くの問題点を残した.今後は原因究明のための実験評 価を進めると伴に、電磁波解析攻撃の対策について検討 する予定である.

# 謝辞

本研究は JST, CREST「ディペンダブル VLSI シス テムの基盤技術」の一環として行われた. 180nm CMOS プロセスでのチップ試作は東京大学大規模集積システム 設計教育研究センターを通じてローム(株)の協力で行わ れた. 関係各位に感謝いたします.

#### 参考文献

- P. Kocher, J. Jaffe, and B. Jun, "Differential Power Analysis," Proc. Crypto'99, LNCS1109, pp.388-397, 1999
- K. Gandolfi, C. Mourtel, and F. Olivier,
  "Electromagnetic Analysis: Concrete Results," CHES2001, Proceeding volue, 2162 of LNCS, Springer-Verlag, 2001
- [3] 片下敏宏,佐藤証,菅原健,本間尚文,青木孝文, "CPA に対するデカップリングキャパシタの影響 の予備検証,"SCIS2009,2009
- [4] 菅原健,鳥塚英樹,本間尚文,佐藤証,青木孝文, 山口正洋,"最近傍から計測した磁界を用いた差分 電磁波解析," SCIS2009, 2009
- [5] 落合隆夫,山本大,伊藤孝一,武仲正彦,鳥居直 哉,内田大輔,永井利明,若菜伸一,岩本貢,太 田和夫,崎山一男,"電磁波解析における局所性と 放射磁界方向について,"SCIS2011,2011
- [6] E. Brier, C. Clavier, and F. Olivier, "Correlation Power Analysis with a Leakage Model," CHES 2004, pp.135-152, 2004
- "Side-cannel Attack Standard Evaluation Board,"
  "http://staff.aist.go.jp/akashi.satoh/SASEBO/ja/i ndex.html"