特許 7423293 認証装置、被認証装置、認証方法、被認証方法、及びコンピュータプログラム。

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2024-01-19

(45)【発行日】2024-01-29

(54)【発明の名称】認証装置、被認証装置、認証方法、被認証方法、及びコンピュータプログラム。

(51)【国際特許分類】

   H04L 9/32 20060101AFI20240122BHJP

   G06F 21/44 20130101ALI20240122BHJP

   G09C 1/00 20060101ALI20240122BHJP

   H04L 9/14 20060101ALI20240122BHJP

【ＦＩ】

H04L9/32 200A

G06F21/44

G09C1/00 640E

H04L9/14

【請求項の数】 12

(21)【出願番号】P 2019224920

(22)【出願日】2019-12-12

(65)【公開番号】P2021093702

(43)【公開日】2021-06-17

【審査請求日】2022-12-08

(73)【特許権者】

【識別番号】000001007

【氏名又は名称】キヤノン株式会社

(74)【代理人】

【識別番号】100126240

【弁理士】

【氏名又は名称】阿部 琢磨

(74)【代理人】

【識別番号】100223941

【弁理士】

【氏名又は名称】高橋 佳子

(74)【代理人】

【識別番号】100159695

【弁理士】

【氏名又は名称】中辻 七朗

(74)【代理人】

【識別番号】100172476

【弁理士】

【氏名又は名称】冨田 一史

(74)【代理人】

【識別番号】100126974

【弁理士】

【氏名又は名称】大朋 靖尚

(72)【発明者】

【氏名】石川 学

【審査官】青木 重徳

(56)【参考文献】

【文献】特開２０１１－１９８３１７（ＪＰ，Ａ）

【文献】特開２０１８－０３８０２５（ＪＰ，Ａ）

【文献】特開２０１８－０４６３４１（ＪＰ，Ａ）

【文献】特開２００３－２０４３２２（ＪＰ，Ａ）

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｈ０４Ｌ ９／３２

Ｇ０９Ｃ １／００

Ｈ０４Ｌ ９／１４

Ｇ０６Ｆ ２１／４４

(57)【特許請求の範囲】

【請求項1】

チャレンジ・レスポンス認証で用いられる認証装置であって、
複数のチャレンジのデータを生成する生成手段と、
前記複数のチャレンジのデータを被認証装置に送信する送信手段と、
前記被認証装置から、複数のレスポンスのデータを受信する受信手段と、
前記複数のチャレンジのデータの暗号処理の入力順とレスポンス順との入れ替えを規定したルールおよび複数のレスポンスのデータに基づき、前記被認証装置の認証処理を行う認証手段と、を有することを特徴とする認証装置。

【請求項2】

前記ルールには、前記複数のチャレンジのデータの数と前記複数のレスポンスのデータの数とを異ならせることが含まれていることを特徴とする請求項１に記載の認証装置。

【請求項3】

前記ルールを保存するセキュアストレージを更に有することを特徴とする請求項１または請求項２に記載の認証装置。

【請求項4】

チャレンジ・レスポンス認証で用いられる被認証装置であって、
認証装置から、複数のチャレンジのデータを受信する受信手段と、
前記複数のチャレンジのデータの暗号処理の入力順とレスポンス順との入れ替えを規定したルールに基づき、前記複数のチャレンジのデータを暗号化する暗号化手段と、
前記複数のチャレンジのデータの暗号処理の入力順とレスポンス順との入れ替えを規定したルールに基づき、前記暗号化手段の暗号化の結果を用いて、前記認証装置が前記被認証装置の認証処理を行うために、複数のレスポンスのデータを前記認証装置に送信する送信手段と、を有することを特徴とする被認証装置。

【請求項5】

前記ルールには、前記複数のチャレンジのデータの数と前記複数のレスポンスのデータの数とを異ならせることが含まれていることを特徴とする請求項４に記載の被認証装置。

【請求項6】

前記ルールを保存するセキュアストレージを更に有することを特徴とする請求項４または請求項５に記載の被認証装置。

【請求項7】

前記暗号化手段は、共通鍵暗号を用いて前記複数のチャレンジのデータを暗号化することを特徴とする請求項４乃至請求項６のいずれか１項に記載の被認証装置。

【請求項8】

前記ルールには、前記認証装置から送信されていないデータをチャレンジのデータとして、前記暗号化手段で暗号化することが含まれていることを特徴とする請求項４乃至請求項７のいずれか１項に記載の被認証装置。

【請求項9】

チャレンジ・レスポンス認証で用いられる認証方法であって、
生成手段が、複数のチャレンジのデータを生成する生成工程と、
送信手段が、前記複数のチャレンジのデータを被認証装置に送信する送信工程と、
受信手段が、前記被認証装置から、複数のレスポンスのデータを受信する受信工程と、
認証手段が、前記複数のチャレンジのデータの暗号処理の入力順とレスポンス順との入れ替えを規定したルールおよび複数のレスポンスのデータに基づき、前記被認証装置の認証処理を行う認証工程と、を有することを特徴とする認証方法。

【請求項10】

チャレンジ・レスポンス認証で用いられる被認証方法であって、
受信手段が、認証装置から、複数のチャレンジのデータを受信する受信工程と、
暗号化手段が、前記複数のチャレンジのデータの暗号処理の入力順とレスポンス順との入れ替えを規定したルールに基づき、前記複数のチャレンジのデータを暗号化する暗号化工程と、
送信手段が、前記複数のチャレンジのデータの暗号処理の入力順とレスポンス順との入れ替えを規定したルールに基づき、前記暗号化工程の暗号化の結果を用いて、前記認証装置が被認証装置の認証処理を行うために、複数のレスポンスのデータを前記認証装置に送信する送信工程と、を有することを特徴とする被認証方法。

【請求項11】

コンピュータを、
チャレンジ・レスポンス認証で用いられる認証装置であって、
複数のチャレンジのデータを生成する生成手段と、
前記複数のチャレンジのデータを被認証装置に送信する送信手段と、
前記被認証装置から、複数のレスポンスのデータを受信する受信手段と、
前記複数のチャレンジのデータの暗号処理の入力順とレスポンス順との入れ替えを規定したルールおよび複数のレスポンスのデータに基づき、前記被認証装置の認証処理を行う認証手段と、を有することを特徴とする認証装置として機能させるプログラム。

【請求項12】

コンピュータを、
チャレンジ・レスポンス認証で用いられる被認証装置であって、
認証装置から、複数のチャレンジのデータを受信する受信手段と、
前記複数のチャレンジのデータの暗号処理の入力順とレスポンス順との入れ替えを規定したルールに基づき、前記複数のチャレンジのデータを暗号化する暗号化手段と、
前記複数のチャレンジのデータの暗号処理の入力順とレスポンス順との入れ替えを規定したルールに基づき、前記暗号化手段の暗号化の結果を用いて、前記認証装置が前記被認証装置の認証処理を行うために、複数のレスポンスのデータを前記認証装置に送信する送信手段と、を有することを特徴とする被認証装置として機能させるプログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、チャレンジ・レスポンス方式を用いた認証装置、被認証装置、認証方法、被認証方法、及びコンピュータプログラムに関する。

【背景技術】

【0002】

接続する機器が正規のものであるかを判定する手段の一つにチャレンジ・レスポンス方式による認証方式が広く用いられている。チャレンジ・レスポンス認証方式とは、まず、両者で取り決めたルールに従いお互いしか知りえない情報をもとに毎回異なるチャレンジに対してレスポンスを生成する。そして、生成されたレスポンスが両者で取り決めたルールに則って生成されたものであるかを検証することにより機器を認証する方式である。チャレンジ・レスポンス認証で機器認証を実現する装置ではリソースが限られているデバイスが多い。そのようなリソースが限られているデバイスでは比較的軽量な回路規模で実現が可能である共通鍵暗号方式を用いるのが一般的である。共通鍵暗号方式としてＡＥＳ（非特許文献１）が規格として決められており広く使用されている。暗号鍵の秘匿性が確保されている限りにおいて、共通鍵暗号方式は暗号学的に安全であることが証明されており、解読は極めて困難である。

【0003】

しかしながら、最近では統計学を用いて前記暗号学的に安全の根拠となっている暗号鍵を推定するサイドチャネル攻撃と呼ばれる手法が研究・提案されている。該研究においては、機器動作中の消費電力や電磁波といった回路から漏れているサイドチャネル情報を測定し、暗号回路への入出力と合わせて解析することによって暗号鍵を推定・導出する技術が提案されている。これらの手法は攻撃者がデバイスを破壊せずともサイドチャネル情報を取得することのみで攻撃できるため比較的容易に実現できてしまうリスクがあり、暗号処理回路・プログラムにおいては対策が求められている。

【0004】

サイドチャネル攻撃は入力データ（または出力データ）と得られた消費電力との相関を取ることにより、鍵を推定する手法である。代表的な攻撃手法の一つとしてＤＰＡ（Ｄｉｆｆｅｒｅｎｔｉａｌ Ｐｏｗｅｒ Ａｎａｌｙｓｉｓ）と呼ばれる差分電力解析手法が提案されている。ＤＰＡ手法では推定した鍵である推定鍵と、暗号処理回路への入出力と、測定で得られる消費電力などのサイドチャネル情報との相関に着目し、取得した複数のデータを用いて相関を統計学的に処理することで鍵を特定するものである。

【0005】

また、機器に対して規定外の電圧・クロックやレーザ・電磁波の照射をといった想定外の刺激を与えることで、内部処理にエラーを発生させそのエラーに対する挙動からフォルトインジェクション攻撃といった攻撃手法も提案されている。

【0006】

フォルトインジェクション攻撃は、成否判定の条件分岐を狙ってフォルトを注入し判定をスキップさせ正規として認証させたり、フォルト注入された結果として得られる間違った処理結果と正常な処理結果との両方を手掛かりに暗号鍵を盗み出したりする攻撃である。

【0007】

以降、暗号鍵を盗み出す攻撃例としてサイドチャネル攻撃を例として説明するが、あくまで例示するものでありこの攻撃に限定するものではない。

【先行技術文献】

【特許文献】

【0008】

【文献】特許第６４４１６１５号

【文献】特許第６３６５０７６号

【非特許文献】

【0009】

【文献】ＦＩＰＳ １９７，Ａｄｖａｎｃｅｄ Ｅｎｃｒｙｐｔｉｏｎ Ｓｔａｎｄａｒｄ（ＡＥＳ）

【発明の概要】

【発明が解決しようとする課題】

【0010】

チャレンジ・レスポンス認証においてはチャレンジ及びレスポンスが機器間の通信路を介してやり取りされるため傍受されやすく、入出力データを取得することが比較的容易である。これに加えて処理回路の消費電力を取得することによりサイドチャネル攻撃が可能となり、攻撃対象となりやすい。

【0011】

また、機器に固定鍵として鍵を記憶しているデバイス等においては、鍵がサイドチャネル攻撃によって特定されてしまうとチャレンジ・レスポンス認証における両者が保持している秘密が第三者に知られてしまうことになり、非正規デバイスを作成されてしまう。
そのため、ＤＰＡへの対策手法として消費電力を均一にする方法（特許文献１）や暗号演算の消費電力を他の処理の消費電力で隠ぺいする方法（特許文献２）などが提案されている。しかしながら、特許文献１の手法では消費電力を均一にするために入力の選択肢が限られてしまい、チャレンジ・レスポンス認証には不向きである。また、特許文献２に記載の手法では、複数の暗号処理回路を必要とするため回路規模が大きくなり、リソースが限られているデバイスには適用が難しい。

【0012】

本発明は、チャレンジ・レスポンス認証において、サイドチャネル攻撃耐性の向上と回路規模の削減とを両立することを目的とする。

【課題を解決するための手段】

【0013】

本発明は、上記課題を鑑みてなされたものであり、チャレンジ・レスポンス認証で用いられる認証装置であって、複数のチャレンジのデータを生成する生成手段と、前記複数のチャレンジのデータを被認証装置に送信する送信手段と、前記被認証装置から、複数のレスポンスのデータを受信する受信手段と、前記複数のチャレンジのデータの暗号処理の入力順とレスポンス順との入れ替えを規定したルールおよび複数のレスポンスのデータに基づき、前記被認証装置の認証処理を行う認証手段と、を有することを特徴とする。

【発明の効果】

【0014】

本発明によれば、チャレンジ・レスポンス認証において、サイドチャネル攻撃耐性の向上と回路規模の削減とを両立することが出来る。

【図面の簡単な説明】

【0015】

【図1】実施形態１の構成を示す図である。

【図2】実施形態１におけるフローチャートを示す図である。

【図3】チャレンジ・レスポンス認証で用いるルールの例を示す図である。

【図4】攻撃者により観測されるデータを示す図である。

【発明を実施するための形態】

【0016】

（実施形態１）
以下に、図面を参照して、この発明の好適な実施の形態を詳しく説明する。なお、以下の実施の形態はあくまで例示であり、本発明の範囲を限定する趣旨のものではない。

【0017】

図１は、実施形態１のチャレンジ・レスポンス認証装置の構成を示すブロック図である。チャレンジ・レスポンス認証装置１は、認証装置１０と被認証装置２０によって構成される。認証装置１０の送信するチャレンジを被認証装置２０が受信できるよう接続され、また、被認証装置２０の送信するレスポンスを認証装置１０が受信できるように接続されている。認証装置１０は、自身が送信したチャレンジに対して被認証装置２０が生成したレスポンスを検証することで、被認証装置２０が正規の装置であるか認証を行い、認証結果を上位のシステムに通知する。

【0018】

次に、認証装置１０および、被認証装置２０の構成を説明する。認証装置１０は、ルール記憶手段１００、チャレンジ記憶手段１０１、チャレンジ生成手段１０２、チャレンジ送信手段１０３、レスポンス受信手段１０４、レスポンス記憶手段１０５、検証手段１０６、鍵記憶手段１０７によって構成される。被認証装置２０はルール記憶手段２００、チャレンジ記憶手段２０１、チャレンジ受信手段２０２、レスポンス記憶手段２０３、レスポンス送信手段２０４、レスポンス生成手段２０５、鍵記憶手段２０６によって構成される。認証装置１０のルール記憶手段１００と被認証装置２０のルール記憶手段２００には事前に共有した共通のルールが記憶されている。使用するアルゴリズム、チャレンジの暗号処理の入力順、レスポンス送信ルールといったレスポンスを生成するために必要である情報が共有されている。本実施形態では、共通鍵暗号方式として広く使用されているＡＥＳ（Ａｄｖａｎｃｅｄ Ｅｎｃｒｙｐｔｉｏｎ Ｓｔａｎｄａｒｄ）を使って説明を行うが、他のアルゴリズムを使用しても構わない。認証装置１０のルール記憶手段１００と被認証装置２０のルール記憶手段２００には、レスポンス生成ルール３が保持されている。ルール記憶手段１００及びルール記憶手段２００は鍵と同等の安全性で守る必要があり、攻撃者がアクセスできないようセキュアストレージなどで保存されることが望ましい。初期のレスポンス生成ルール３の書き込みは、製品出荷時に工場などで、レスポンス生成ルール３を書き込むことで実現される。レスポンス生成ルール３は書き換え可能であってもよいし書き換え不可であってもよく、安全に事前に取り決めたルールを更新するプロトコルを構築し更新できるとより安全である。

【0019】

次に、チャレンジ・レスポンス認証装置１における典型的な認証処理の流れを説明する。認証装置１０では、まず、チャレンジ生成手段１０２によってチャレンジＣＨｎが生成される。チャレンジＣＨｎのサイズは、ＡＥＳのブロック長の整数倍である必要がある。続いて、生成されたチャレンジＣＨｎは、チャレンジ送信手段１０３を介して、被認証装置２０に送信される。続いて、被認証装置２０は、認証装置１０から送信されたチャレンジＣＨｎをチャレンジ受信手段２０２で受信する。続いて、受信したチャレンジＣＨｎをチャレンジ記憶手段２０１に記憶する。レスポンス生成手段２０５において、チャレンジ記憶手段２０１に記憶されたチャレンジをルール記憶手段２００に記憶されているレスポンス生成ルール３に従いレスポンスＲＳｍが生成される。ここで、必要に応じて鍵記憶手段２０６よりレスポンス生成に使用する鍵を取得する。生成されたレスポンスＲＳｍはレスポンス記憶手段２０３に記憶される。続いて、レスポンスＲＳｍとして、レスポンス送信手段２０４を介して、認証装置１０に送信する。続いて、認証装置１０は、被認証装置２０から送信されたレスポンスＲＳｍをレスポンス受信手段１０４で受信する。続いて、受信したレスポンスＲＳｍとチャレンジＣＨｎを用いルール記憶手段１００に記憶されているルールに従い生成した期待値と一致するか検証手段１０６で検証を行う。検証手段１０６の検証の結果、一致が確認された場合は、被認証装置２０が、正規の装置と判断し、上位のシステムに認証が成功したことを通知する。一方、検証手段１０６の検証の結果、一致が確認されなかった場合は、被認証装置２０が非正規の装置と判断し、上位システムに認証が失敗したことを通知する。

【0020】

次に、図２を用いて、実施形態１における、認証装置１０と被認証装置２０の間のチャレンジ・レスポンス認証フローを説明する。認証装置１０は、Ｓ１００においてカウンタｎに０を代入する。続いて、Ｓ１０１においてチャレンジＣＨｎを生成する。続いて、Ｓ１０２において、チャレンジＣＨｎを被認証装置２０に送信し、カウンタｎを１インクリメントする。認証装置１０は送信するチャレンジＣＨｎの数Ｎをルール記憶手段１００より事前に取得しており、Ｓ１０３において送信するチャレンジＣＨｎの数Ｎとの比較を行う。比較した結果カウンタｎがＮに満たない場合にはＳ１０１に戻りチャレンジＣＨｎを送信するステップを繰り返し実施する。条件を満たしている場合レスポンスを受信する準備に入りＳ１０４においてカウンタｍに０を代入する。被認証装置２０は、Ｓ２００において、カウンタｎに０を代入する。Ｓ２０１においてチャレンジＣＨｎを認証装置１０から受信する。続いて、Ｓ２０２において、チャレンジＣＨｎをチャレンジ記憶手段２０１に記憶し、カウンタｎを１インクリメントする。続いて、Ｓ２０３において、受信したチャレンジ数ｎとルール記憶手段２００より事前に取得した認証装置１０より送信されるチャレンジＣＨｎの数Ｎとを比較を行う。比較した結果カウンタｎがＮに満たない場合にはＳ２０１に戻りチャレンジＣＨｎを受信するステップを繰り返し実施する。条件を満たしている場合レスポンスを受信する準備に入りＳ２０４においてカウンタｍに０を代入する。続いてＳ２０５においてレスポンスＲＳｍを生成し、レスポンス記憶手段２０３に記憶し、カウンタｍを１インクリメントする。ここで生成するレスポンスは、ルール記憶手段２００に記憶されている事前に取り決めたレスポンス生成ルール３に記載のアルゴリズムに則って生成する。レスポンス生成は処理回路１つを用いてシリアルに実施してもよいし、処理回路が複数ある場合には並列に実施してもよい。Ｓ２０６において、被認証装置はルール記憶手段２００に記憶されているレスポンス送信数Ｍと生成したレスポンス数ｍの比較を行いｍがＭに満たない場合にはレスポンス生成Ｓ２０５のステップを繰り返す。条件を満たしている場合にはＳ２０７においてレスポンス記憶手段２０３に記憶されているレスポンスをルール記憶手段２００に記憶されているレスポンス送信ルールに則りレスポンス順番を制御し入替る。なお、ここでは説明を簡単とするためレスポンス記憶手段２０３に記憶された順番を入れ替えるよう記載しているが、インデックス等で管理してもよいし、レスポンス生成時に取得するアドレスで制御してもよく入替手段は問わない。続いてＳ２０８でカウンタｍに０を代入しＳ２０９においてレスポンスＲＳｍを認証装置に送信し、カウンタｍを１インクリメントする。Ｓ２１０においてルール記憶手段２００に記憶されているレスポンス送信数Ｍとレスポンスを送信した数ｍの比較を行いｍがＭに満たない場合にはレスポンス送信Ｓ２０９を繰り返し実施する。ここで、Ｓ２０５からＳ２１０までの処理を図３（ａ）に示したルールの参考例を用いてより詳細に説明する。ＡＥＳ１２８ｂｉｔの暗号化を用いる例であり、本実施形態においてはチャレンジ送信数Ｎ及びレスポンス送信数Ｍは共通暗号ＡＥＳのブロック長である１２８ｂｉｔを１ブロックとしブロックの個数を示している。６ブロック分をチャレンジとして送受信し、３ブロック分をレスポンスとして送受信する。Ｓ２０５においてはルールに記載されたレスポンス生成ルール３０を用いてルールを生成する。レスポンス生成ルール３０はさらに利用チャレンジ３００、暗号処理の入力順３０１、レスポンス順３０２から構成される。暗号処理Ｅｎｃｎのｎを暗号処理順番として説明する。チャレンジＣＨ２が暗号処理Ｅｎｃ３の入力として利用され、レスポンスＲＳ１として送信される。次にチャレンジＣＨ３が暗号処理Ｅｎｃ２で入力として使用され、暗号化された結果がレスポンスＲＳ３として、さらにチャレンジ６が暗号処理Ｅｎｃ１で入力として使用されレスポンスＲＳ２として送信される。

【0021】

続いて、Ｓ１０５において、認証装置１０は被認証装置２０からレスポンスＲＳｍを受信する。続いて、Ｓ１０６において、レスポンス記憶手段１０５に受信したレスポンスＲＳｍを記憶し、カウンタｍを１インクリメントする。続いてＳ１０７受信したレスポンスの数ｍとルール記憶手段１００に記憶されているレスポンス送信数Ｍとを比較を行いｍがＭに満たない場合にはレスポンス受信Ｓ１０５を繰り返し実施する。条件を満たしている場合にはＳ１０８において検証手段１０６は受信したレスポンスＲＳｍすべてが、チャレンジＣＨｎおよび事前に取り決めたルールに従い生成されたレスポンスであるかをレスポンス順番も含めて検証を行う。ここで事前に取り決めたルールはルール記憶手段１００より取得し、必要に応じて鍵記憶手段１０７より鍵を取得する。Ｓ１０８の検証の結果、一致が確認されたら、被認証装置２０は正規の装置と判断され、Ｓ１０９において、認証成功したことをシステムに通知する。一方、Ｓ１０８の検証の結果、一致が確認されなかったら、被認証装置は非正規の装置と判断され、Ｓ１１０において、認証失敗したことをシステムに通知する。

【0022】

本提案による、発明の効果を説明する。

【0023】

従来例において、チャレンジ・レスポンス認証においては入出力データ（チャレンジＣＨｎ、レスポンスＲＳｍ）が通信路を介してやり取りされ、かつ、暗号処理中の消費電力等のサイドチャネルは攻撃者が入手することが可能であった。すなわち、サイドチャネル攻撃の耐性が持たれていなかった。そのため、暗号鍵の推定に対する攻撃に対して脆弱であった。また、暗号鍵は機器に固定で書き込まれることが多く、一度鍵が盗まれてしまうと、被認証装置を偽装し、非正規の機器を認証させることが可能となる。また、同一の共有鍵を複数の機器で使用していた場合には、影響は複数の機器にも及んでしまう。一方、本出願においては、チャレンジ・レスポンス認証の一連の流れにおいて、チャレンジＣＨｎ、レスポンスＲＳｍとそれらを用いて実行される暗号処理との順番を入れ替える。これにより、入出力と波形とのマッピングを取ることが困難となり鍵の解析難易度が向上し、サイドチャネル攻撃耐性を増すことができる。ここで、図４を例として攻撃者が観測できる情報と照らし合わせて効果をより詳細に説明する。攻撃者は攻撃者が観測できない範囲４０の結線情報を得ることができない。これらの情報は事前に取り決められたルール３に記載の内容と等価である。攻撃者はチャレンジＣＨ１（４００）からチャレンジＣＨ６（４０５）とサイドチャネルとして観測できる電力波形１（４４０）から電力波形３（４４２）とから解析しようと試みる。しかし、電力波形１（４４０）はチャレンジＣＨ６（４０５）から生成された波形であり、この対応関係は観測できないことからサイドチャネル攻撃は難しい。レスポンスＲＳ１（４３０）からレスポンスＲＳ３（４３２）も同様に電力波形４４０から電力波形４４２との相関が取れないため解析は難しい。

【0024】

また、フォルトインジェクション攻撃に対しても複数のチャレンジを使用し認証を実施しているため耐性を増すことができる。さらに耐性を増すためには事前に取り決めたルールを更新する手段を設けるとなおよい。このように、本発明によりサイドチャネル攻撃に対して耐性を持つことができる。

【0025】

（実施形態２）
以下に、図面を参照して、実施形態２について説明する。なお、本実施形態の説明に用いる図面に関し、同じ機能を持つものについては同じ参照符号をつけ、説明を省く。
なお、以下の実施の形態はあくまで例示であり、本発明の範囲を限定する趣旨のものではない。

【0026】

図３（ｂ）を用いて実施形態２を説明する。ここで、Ｓ２０５からＳ２１０までの処理を図３（ｂ）に示したルールの参考例を用いてより詳細に説明する。ＡＥＳ１２８ｂｉｔの暗号化を用いる例であり、本実施形態においてはチャレンジ送信数Ｎ及びレスポンス送信数Ｍは共通暗号ＡＥＳのブロック長である１２８ｂｉｔの個数を示している。６ブロック分をチャレンジとして送受信し、３ブロック分をレスポンスとして送受信する。Ｓ２０５においてはルールに記載されたレスポンス生成ルール３０を用いてルールを生成する。レスポンス生成ルール３０はさらに利用チャレンジ３００、暗号処理の入力順３０１、レスポンス順３０２から構成される。暗号処理Ｅｎｃｎのｎを暗号処理順番として説明する。本実施形態では利用チャレンジにおいてｄｕｍｍｙ３０３を実施形態１に加えて利用する。チャレンジＣＨ２が暗号処理Ｅｎｃ３の入力として利用され、レスポンスＲＳ１として送信される。次にチャレンジＣＨ３が暗号処理Ｅｎｃ４で入力として使用され、暗号化された結果がレスポンスＲＳ３として、さらにチャレンジ６が暗号処理Ｅｎｃ１で入力として使用されレスポンスＲＳ２として送信される。ここで、暗号処理Ｅｎｃ２としてｄｕｍｍｙの入力を用いて暗号処理を実施し、かつ、この暗号処理出力はレスポンスには使用しない。これにより、攻撃者からすると、余分な暗号処理の電力波形が追加されることにより、チャレンジと観測電力波形、レスポンスとの間の相関付けがより難しくなる。特に、すべてのチャレンジが利用されるわけではなく、さらに予期しないデータに対する暗号処理が挿入されることにより、実施形態１に比べてよりサイドチャネル攻撃耐性が増した構成となる。

【0027】

（その他の実施例）
本発明は、上述の実施形態の１以上の機能を実現するプログラムを、ネットワーク又は記憶媒体を介してシステム又は装置に供給し、そのシステム又は装置のコンピュータにおける１つ以上のプロセッサーがプログラムを読出し実行する処理でも実現可能である。また、１以上の機能を実現する回路（例えば、ＡＳＩＣ）によっても実現可能である。

【符号の説明】

【0028】

１ チャレンジ・レスポンス認証装置
１０ 認証装置
２０ 被認証装置
１００ ルール記憶手段
２００ ルール記憶手段

【図1】

【図2】

【図3】

【図4】