白書8：1-Wire® SHA-1の概要

要約

データセキュリティを論じる際にはよく暗号化に焦点が当てられますが、暗号化よりもおそらく｢認証｣の方がより重要な要素であると考えられます。この白書では、ハードウェア、データ、およびユーザをディジタル認証するための簡単な手法について説明します。次に、この手法を使用した1-Wire SHA-1 (セキュアハッシュアルゴリズム1)デバイスの概要を説明します。最後に、今後の研究と開発のための参考として、関連ドキュメント、キット、および事例を記載しています。

はじめに

セキュリティは、ディジタル的なあらゆる事象に付きまとう問題です。データセキュリティを論じる際にはよく暗号化に焦点が当てられますが、暗号化よりもおそらく｢認証｣の方がより重要な要素であると考えられます。情報と通信は、最終的にはすべて一時的に1と0に変換されるため、その正当性と信憑性が問題になる可能性が高くなります。この白書では、ハードウェア、データ、およびユーザを認証するための簡単な手法について説明します。次に、この手法を使用した1-Wire® SHA-1 (セキュアハッシュアルゴリズム1)デバイスの概要を説明します。最後に、今後の研究と開発のための参考として、関連ドキュメント、キット、および事例を記載しています。(特殊な用語、コマンド、またはコードについては、わかりやすくするためイタリック体で示しています。用語の解説については、アプリケーションノート1099 ｢White Paper 4: Glossary of 1-Wire SHA-1 Terms｣に掲載されています。)

ハッシュ

ハッシュとはメッセージを抽出したものです。通常この抽出物はメッセージよりもはるかに短く、また一定のサイズになります。暗号として強力なハッシュは非可逆的でなければなりません。つまり、ハッシュの結果を調べても、元のメッセージのいずれの部分も取り出すことができないということです。またハッシュは、入力メッセージをほんの少し変更しても(たとえそれが1ビットであっても)、確実に変化することが必要です。これは｢なだれ効果｣と呼ばれています。またハッシュには衝突耐性も必要です。つまり、同じハッシュを備えた2つのメッセージを見つけることが実質的に不可能であるということです。これらのハッシュ特性を使用して、メッセージが改竄されていないことを検証することができます。

MAC

MAC (メッセージ認証コード)とは、入力メッセージの一部が秘密であるハッシュのことです。この秘密を知る当事者だけが、再計算を行ってMACの信憑性を検証することができます。MACの生成方法については、図1を参照してください。

図1. MACの生成

このため、システムの(秘密を知る)当事者は、メッセージとMACの組み合せが本物であることを検証することができます。これによって、暗号化に頼ることなく、前述の一時的な1と0を信頼できるようになります。MACは広範囲なアプリケーションに対応できる有力な手法です(後述の｢アプリケーション｣の項を参照)。

SHA-1

ハッシュを用いた認証方式を確立するためには、暗号として強力なハッシュ関数を選択することが重要となります。SHA-1には非可逆性、衝突耐性、および優れたなだれ効果を備えています。SHAは、連邦情報刊行物180-1および180-2 (FIPS 180-1、FIPS 180-2)に規定された規格です。SHAシリーズのハッシュは現在のところ、FIPSで承認された唯一の方式です。SHA-1は、ISO/IEC 10118-3でも規定されています。｢Applied Cryptography (暗号技術大全)第2版｣(John Wiley & Sons出版、1996年)の著者ブルース・シュナイアー氏は同書の中で｢SHAに対抗する既知の暗号攻撃は存在しない｣と述べています。この理由によってSHA-1を選択しました。SHA-1は、512ビット(64バイト)から成る1つまたは複数のブロックで構成され、160ビット(20バイト)のハッシュを生成します。

アプリケーション

認証とは、デバイス、人物、およびメッセージが正当でかつ本物であることをホストに証明するプロセスです。MACを利用するこの認証手法は｢チャレンジ＆レスポンス｣と呼ばれます。チャレンジとは、認証対象のデバイスに対してホストが提示するランダムなデータです。このチャレンジがMACの計算に取り込まれます。これによってあらゆる認証セッションはそれぞれが個別なものとなり、決定論的なものではなくなります。

何を認証することができるのでしょうか？2つの装置間のメッセージは、両装置がその秘密を知っている場合に認証可能となります。扉に対して携帯トークンを認証することで、管理された部屋に入ることができます。想定されるアプリケーション(ホストと認証対象も含む)の一覧については、以下の表1を参照してください。

表1. MACを使用したアプリケーション

信頼あるトークンの生成について

上述のほとんどのアプリケーションでキーとなる部品は、特定の携帯電子トークンです。SHA-1 MACによる認証を実行するためには、秘密を安全に保持できてMACを計算することのできる、信頼あるクライアントを作成する必要があります。クライアントは物理的に安全で堅牢であること、またSHA-1演算を迅速に実行可能であることが必要となります。マキシムは、10年以上にわたって、iButton®携帯トークンを製造しており、今日ではSHA-1性能を備えたモデルを提供しています。iButtonのような形状が必要でない場合には、チップでもご利用いただけます(図2を参照)。

図2. 1-Wire SHA-1デバイス

ある状況を想定すれば、これらトークンのアプリケーションと使用方法は簡単に説明できるようになります。図3は、サービスの全容を示しています。サービスプロバイダ(自販機メーカーなど)は、有効データを備えたトークンをユーザ層に配布します。ユーザがSCU (サービス制御ユニット。キャンディマシンなど)にトークンを渡すと、SCUは、サービスの一環としてトークンを認証し、データを正当なもの(電子マネーすなわちeCash)として認め、必要に応じてデータを更新します。SCUは、SHA-1 MACを計算できることも必要です。これは内部のコプロセッサで実行可能です。トークンの特定フィールドと機能、およびSCUについては、以降の項で説明します。

図3. サービス

1-Wire SHA-1トークンには2種類あります。DS1963Sは、8種類のSHA-1秘密と512バイトのNV RAM (不揮発性RAM)ユーザデータ空間を備えた最高品質のデバイスです。DS1963Sは、SCUのコプロセッサとして使用することもでき、必要となるホスト側のSHA-1 MACすべてを計算することができます。DS1963Sには、SCUプロセッサから秘密を完全に削除するという別のセキュリティ機能もあります。サービスデータを検証するための秘密(マスタ署名秘密)と、トークンを認証するための秘密(マスタ認証秘密)の両方が、DS1963Sのコプロセッサに安全に保持されます。内蔵のリチウムセルが、DS1963S内部のNV RAMをバックアップします。短時間であっても(たとえば物理的な攻撃によって)この電源が取り外されると、秘密と記憶内容は消去されてしまいます。

DS1963Sでは、それぞれが専用の秘密を保持する7種類の動的サービスレコードをサポートすることができます。8番目の秘密は、コプロセッサ型の機能用として予約されています。このデバイスには、これとは別に32バイトの汎用データページが8つあり、静的サービスレコード用に使用することができます。これらの特別なページには、それぞれ1つの秘密が関連付けられていますが、書き込みサイクルカウンタはありません。書き込みサイクルカウンタは、書き込みの検出に使用するための、読み取り専用で非ロールオーバ式のページ書き込みカウンタです。書き込みサイクルは、システムへの特定の攻撃を防ぐために使用されます。

DS1963Sは、各サービスレコードごとに2種類のMACを使用します。1つ目のMACは1-Wireトークンによって生成され、システムに対してトークンを認証します(一意の認証秘密)。2つ目のMACはSCUホストによって生成され、サービスレコードに組み込まれて、これを検証するために使用されます。このMACはサービスデータ署名と呼ばれます。この署名の作成に使用される秘密(マスタ署名秘密)は、ユーザデバイス上には常駐しておらず、SCUまたはそのコプロセッサ内にのみ存在します。

他の2つのデバイス、DS1961SとDS2432は、基本的には同じデバイスですがパッケージが異なります。DS1961Sは標準iButtonパッケージで提供され、DS2432は小型TSOCパッケージまたはチップスケールパッケージで提供されます(2.5mm × 1.5mm)。これらの2つのデバイスは、NV RAMではなくEEPROM技術を使用しているため、パッケージのリチウムセルが不要です。これらのデバイスでは、4つのすべてのページに秘密が1つだけ関連付けられています。DS1963Sについては書き込み制限がありませんが、DS1961S/DS2432への書き込みについては、デバイスに対する認証MACの提示が必要です。これによって実質的にデバイスへの書き込みが保護されます。書き込みアクセスは、認証秘密を知るSCUに制限されるため、デバイスは書き込みサイクルカウンタを備えておらず、データ内にMAC署名を組み込む必要はありません。DS1961S/DS2432には認証秘密が1つしかないため、サポートできるサービスプロバイダは1つだけです。デバイスには4つのページがあるため、このサービスプロバイダは、最大4種類のサービスをインストールすることができます。

1-Wireデバイスによって作成されたSHA-1の結果は、FIPS 180-1仕様に準拠していることに留意してください。ただし、最後に追加される定数は除去されます。FIPS-180の仕様では、これらの定数は、各ブロックを計算した後、結果に追加されます。1-Wireデバイスは1つのブロックしか計算しないため、これらの定数を追加してもセキュリティは向上せず、定数を取り除くことによってハードウェアでのMACの計算速度を早めています。FIPS 180-1への準拠が必要な場合、SCUによって元どおりに定数を追加することができます。

図3は、1つのサービスレコードの検証に使用される1-Wireトークンの関連メモリと特殊レジスタを示しています。各トークンには、レーザーでROMに焼き付けられた64ビットの一意のデバイスIDが含まれます。各デバイスにこの一意のROM IDが備わっているため、秘密の計算の1つの要素としてこれを使用することで、各デバイスの認証秘密を一意にすることができます(一意の認証秘密)。認証を行うとき、SCUなどのホストは、マスタ認証秘密とROM IDから一意の認証秘密を再計算する必要があります。各デバイスには、SCUによって送信された認証チャレンジを保持するための一時メモリの場所も含まれています。チャレンジはSCUによって作成されるランダムデータであり、これによって各認証シーケンスが一意となります。ページ番号は、データメッセージが存在するメモリ内の物理的な場所となります。

1-Wireデバイスは、各フィールドを取得し、内蔵のSHA-1エンジンを通じてこれらのフィールドを実行した後、認証のためにMACを返します。SCUは、計算した一意の認証秘密を使用して同じ情報を取得し、そのMACが適正であることを検証します。図4は、デバイス内で認証MACが構築される様子を示しています。

図4. トークン認証

DS1963Sには書き込みアクセスの制限がないため、サービスレコードに、データを検証するためのサービスデータ署名を含める必要があります。このMACはサービスデータとともに保存され、アカウントデータの正当性を検証するために使用されます。図5は、サービスデータ署名を生成して検証するために利用される情報を示しています。図6は、SCUとDS1963Sトークンによる全体処理、図7は、DS1961Sトークンを用いた場合の処理を示しています。

図5. DS1963Sによるサービスデータの検証

図6. DS1963Sの標準処理フロー

図7. DS1961Sの標準処理フロー

詳細について

多数のドキュメントが利用可能で、1-Wire SHA-1デバイスをベースにしたシステムの理解と実装に役立ちます。これらのドキュメントの内容は、｢理論｣、｢実装の詳細｣、および｢API｣という3つのカテゴリに分類することができます(図8を参照)。｢理論｣に関するリソースでは、利用できるアルゴリズムを用いて電子マネーの安全性を確保する仕組みについて論じています。｢実装の詳細｣では、1-Wireデバイスを用いて認証と電子マネーの処理を遂行するための、通信の詳細な手順について説明しています。｢API｣に関するリソースは、今すぐSHA-1デバイスを利用したい場合に有効です。APIのソースコードは、カスタム実装を行う場合の実用的な開発ツールとして利用することもできます。

図8. リソース概要

表2. 理論

表3. 実装の詳細

表4. アプリケーションプログラマインタフェース(API)