あなたが設計したLSIから秘密情報が漏れてます ―― 暗号回路のトレンドはアルゴリズムの標準化から実装の安全性評価へ
●○● Column 1 ●○●
ICカードのセキュリティ
接触型ICカードであれば,どれが通信するべき端末なのかがその場でわかります.一方,非接触型ICカードの場合,だれかが盗み聞きしているかもしれません.RFIDは数十~数百ビットの認識番号(ID)を周りに伝えるだけなので,それほど問題にはなりませんが,かりにキャッシュ・カードやクレジット・カードだったらどうでしょう.影で第三者が成りすましの通信を行っているかもしれないという不安を持つと思います.ですが,キャッシュ・カードやクレジット・カードに用いるような高機能のICカードでは,機密データの暗号化と通信相手の正当性の検証がしっかりと行われているので,接触・非接触にかかわらずそのような心配はありません.
以前,テレビの報道番組でICカード情報をコートの上から読み取る「非接触スキミング」という光景を目にしたことがあります.ですが,初めに相手を確認し,また自分がだれかを知らせなければ通信は始められないので,そのようなID情報は読めてあたりまえなのです.このことと,セキュリティ機能を持たず,すべてのデータが簡単にコピーできる磁気カードのスキミングを同等に扱うのは誤りです.
ICカードのデータは,暗号アルゴリズムだけで守られているわけではありません.物理的な攻撃への対策として,多くのカードは電圧,周波数,光,温度などに対するさまざまなセンサを搭載しています.また,こうしたICカードのカタログには,"simple power analysis(SPA)","differential power analysis(DPA)","differential fault analysis(DFA)","electromagnetic analysis(EMA)"など,不当な方法による情報漏えい(いわゆるサイドチャネル攻撃)の対策についての記載があります.