魚の水槽にセキュリティは要らない—ただしIoTの一部でなければの話

2019年2月28日

Christine Young  筆者: Christine Young
 ブロガー、マキシム・インテグレーテッド 


普通は、魚の水槽をハッカーから保護する必要があるとは思わないでしょう。しかし、もしそれがスマート水槽で、温度と照明の制御がモノのインターネット(IoT)システムによって行われるとしたらどうでしょう?その場合、ハッキングされた水槽はより大きいネットワークへの…そして機密データバンクへの入口になってしまいます。これはラスベガスのカジノで実際に起きた事件で、スマート水槽がファイアウォールによって保護されていなかったため、大金を賭ける上客のデータベースに犯罪者がアクセスしました。

セキュリティに関する最近のウェブセミナーで、マキシムのエンベデッドセキュリティ担当マネージングディレクターであるScott Jonesは次のように述べています。「実際、今回のセッションをこの話で始めることのポイントは、IoTの普及にあります。それに伴う接続性によって、大量の製品が脆弱性をかかえています。私たちはセキュリティについて考える必要があります」。1時間にわたるセッション「Why Does a Fish Tank Need Security? (なぜ水槽にセキュリティが必要か?)」の中で、Jonesはセキュリティを念頭に置いた設計の重要性を強調し、SHA-3ハッシュアルゴリズムと物理的複製防止機能(PUF)技術の動作について説明したあと、両方の技術を内蔵したセキュア認証用ICを紹介しました。

ハッキングされた水槽は注目に値する例ですが、エンベデッドの世界には同様の脆弱性を持つコネクテッドデバイスが大量に存在します。Jonesは、医療廃棄物の中から自社製品を回収され、やがては再びサプライチェーンの中に戻された医療器具開発企業の話や、産業制御/オートメーションシステムで見つかった偽造センサーの話を紹介しました。高価値製品はマルウェア、偽造、および不正使用のターゲットになり、多くの場合それらの価値は基盤となるデータにあると見なされます。

図1. このボトル詰め生産ラインのような産業オートメーション環境のセンサーは、セキュリティを確保しないままにしておくと再現される可能性があります。図1. このボトル詰め生産ラインのような産業オートメーション環境のセンサーは、セキュリティを確保しないままにしておくと再現される可能性があります。

設計を保護する必要があるかどうか迷ったときは、以下の質問を自分にしてみると良いとJonesは述べています。

  • セキュリティで解決可能な既存の問題があるか?
  • 偽造や不正使用のターゲットになる可能性があるシステムか?
  • 安全性と品質のために、センサー、ツール、およびモジュールが純正品であることが絶対に必要か?

デザインセキュリティにはいろいろなタイプがありますが、Jonesはセキュア認証用ICによるものなどのハードウェアベースのセキュリティが最も堅牢でコスト効率の良い選択肢だと推奨しました。セキュア認証用ICは、知的財産(IP)保護、機器認証、機能設定、使用管理、データ/ファームウェア完全性、およびメッセージ認証/完全性に使用することができます。これらのデバイスは、通常は対称/非対称アルゴリズム、双方向認証、セキュアシステムデータストレージ、使用回数のカウント、メモリ設定、および汎用入出力(GPIO)を提供するように設計されています。以下のような多数の目的にセキュア認証用ICを使用することができます。

  • 使用前のアクセサリ認証
  • アクセサリ認証用IC内のデータのセキュアな更新
  • アクセサリの動作パラメータの認証付き読取りの提供
  • アクセサリ使用回数のセキュアなカウント
  • アクセサリの追加使用の無効化
  • 個別のホスト/アクセサリ暗号通信用の暗号鍵の確立

データの指紋に相当するもの
なぜSHA-3が重要なのでしょう? SHA-3は有名なヨーロッパの暗号チームによって開発され、KECCAK暗号関数をベースとしており、米国標準技術研究所(NIST)による公開コンペティションおよび審査過程の後、2015年に最新のセキュアハッシュアルゴリズムとして採択されました。「ハッシュアルゴリズムについて考えると」とJonesは言います。「それらは実際のところデータのデジタル指紋を提供することができる関数のようなものです。任意のサイズのデータアルゴリズムをSHAアルゴリズムに通すと、そのプロセスから固定長の出力を得ることができます」。

彼は続けて次のように述べています。「SHA-3の利点は、ハードウェア実装の面、およびソフトウェアの側でさえ、非常に効率的だということです」。そのため、このアルゴリズムは対称鍵ベースのメッセージ認証コード(MAC)に最適です。MACでは、短い情報を使ってメッセージを認証し、それがセンサーやツールなど所定の送信元から発信されたものであることを確認します。このプロセスによって、目的の動作の実行を許可する前にメッセージの信頼性が確保されます。

Jonesが述べているように、SHA-3はセキュアな一方向機能を提供します。ハッシュからデータを再構築したり、ハッシュを変えずにデータを変更することはできません。また、同じハッシュを持つ別のデータや、同じハッシュを持つ2組のデータを見つけることもできません。SHA-3の動作を理解するために、図2に示すような、システムレベルにおいてSHA-3認証用ICを使って設計されたスレーブアクセサリとSHA-3コプロセッサまたはマイクロコントローラを備えたホストコントローラで構成される最終アプリケーションを考えます。スレーブアクセサリは固有のシークレットを備え、ホストコントローラはシステムシークレットを備えます。認証機能用に、ホストは最初にスレーブICに保存されている固有シークレットをセキュアに計算する必要があります。そのために、ホストはスレーブにROM IDを要求し、それ自体がセキュアに保存しているシステムシークレットおよび若干の計算データとともに、自体のSHA-3エンジンに入力します。エンジンは認証IC内に保存されている固有シークレットと等しいSHA-3ハッシュベースのMAC (HMAC)を計算します。スレーブIC内の固有シークレットをセキュアに算出したあと、ホストコントローラは認証ICとの間で各種の双方向認証機能を実行することができます。1つの例として、アクセサリが純正品であることを証明するためのチャレンジ&レスポンス認証シーケンスがあります。この場合、ホストはスレーブにROM IDを要求して受信します。また、ホストはランダムなチャレンジを生成してスレーブアクセサリに送信します。次にスレーブアクセサリはそれ自体の固有ID、固有シークレット、およびチャレンジをSHA-3エンジンに入力してSHA-3 HMACを計算し、それをホストに送り返します。その間に、ホストは固有のスレーブシークレット、チャレンジ、およびスレーブのROM IDからそれ自体でもSHA-3 HMACを計算しています。両者のHMACが等しければ、スレーブアクセサリは純正品であることが確認されます。

図2. SHA-3認証モデルの基本的な要素図2. SHA-3認証モデルの基本的な要素

存在しない鍵を盗むことはできない
最近は、セキュリティソリューションでさえ執拗かつ高度な攻撃に晒されます。非侵入型の方法として、サイドチャネル攻撃などがあります。また、マイクロプロービング、リバースエンジニアリング、集束イオンビームを使用してシリコンに変化を生じさせる方法などの侵入型攻撃もあります。PUF技術は、これらのタイプの攻撃に対する保護を提供するように設計されています。マキシムはChipDNA技術の中でPUFを実装しており、シリコン内のランダムな電気的特性を利用して鍵を生成します。「この方法の利点は、あらゆる相互作用、シリコンをプローブまたは露出しようとするいかなる試みも、これらの非常に敏感な電気的特性を変化させるということです」とJonesは述べ、それによってPUFが使えなくなると説明しました。鍵は暗号演算に必要なときにのみセキュアなロジック内で生成および使用され、必要なくなると消去されます。

SHA-3とPUF技術は非常に優れた組み合わせであり、マキシムの最新のセキュア認証用ICの1つであるDS28E50で提供されます。PUF保護およびFIPS202準拠、SHA3-256ベースのチャレンジ&レスポンス双方向認証以外に、DS28E50は以下の機能も備えています。

  • RNDを出力するコマンドを備えたNIST SP 800-90B TRNG
  • ユーザーメモリおよびSHA-3シークレット用の2kbのE2アレイ
  • 認証付き読取りを備えたデクリメント専用カウンタ
  • 固有の出荷時設定、読取り専用シリアルナンバー(ROM ID)

このセッションの締めくくりとして、Jonesはいくつかの興味深い質問に答えました。出席者の1人は、SHA-2が今後も実用性を維持するかどうか尋ねました。JonesはSHA-2の内部に既知の暗号脆弱性がないことを指摘し、マキシムが一部の製品でこのアルゴリズムを使い続けると述べました。「私たちはセキュリティのランニングマシンの上を走り続けようと努力しています。SHA-3はハッシュアルゴリズムの次の進化だというのが、私たちがそれに移行した主な理由です」。

別の出席者は、PUF回路が攻撃を受けるかどうかを尋ねました。Jonesは次のように述べました。「悪質な意味でPUFを破ろうとしている特定の実体があるとは聞いていません」。さらに、第三者機関のセキュリティ研究所がもう1つのPUFベースの回路であるDS28E38リバースエンジニアリング調査を実施し、この認証用ICが「物理的リバースエンジニアリング攻撃に対して非常に効果的で抵抗力がある」と結論付けています。

さらに詳しく: