# セキュアスキャン設計のための

# 強セキュアなシフトレジスタ等価回路の列挙

| 日大生産工 | ○近藤 雅之 | 日大生産工 | 山崎 紘史 |
|-------|--------|-------|-------|
| 日大生産工 | 細川 利典  | 大阪学院大 | 藤原 秀雄 |

### 1. はじめに

暗号回路を含む多くの超大規模集積回路(Very Large Scale Integrated circuits: VLSI)において, 安全(セキュア)かつテストが容易(テスタブル) な回路設計は重要な課題とされている. これら の問題を解決すべく,いくつかのテスト容易化 設計法(Design For Testability: DFT)が提案さ れている. 現在では, DFT の一種であるスキャ ン設計がもっとも利用されている.スキャン設 計とは、回路内部に存在するフリップフロップ (Flip-Flop: FF)をスキャンフリップフロップ と呼ばれる記憶素子に置き換え、数珠状に接続 することで FF の可制御・可観測性を向上させ る. スキャンフリップフロップは, つのマルチ プレクサ(multiplexer:MUX)と 1 つの FF で構 成されており,スト実行時にはシフトレジスタ (以下 SR と略す)を形成するため, FF に任意の 値を外部から制御・観測可能となりテスト容易 性を飛躍的に向上させる[1].

スキャン設計は高いテスト容易性を達成可 能であるが、同時に回路内の機密情報へのアク セスも容易になる.このため、スキャンベース 攻撃による暗号回路の秘密鍵解読等の秘密情報 漏洩の危険性が高いことが指摘されている[2].

現在スキャンベース攻撃に耐えられる安全な スキャン設計法について研究が行われており, 多くの研究が報告されている[2-9,10-13]. 文献 [10,11]では, SR 等価回路を利用したセキュア かつテスト容易なスキャン設計法を提案してい る.また,文献[12,13]では一般化フィードフォ ワード SR 回路(Generalized Feed-Forward Shift Registe:GF<sup>2</sup>SR に対して,強セキュアな 回路の列挙と合成が報告されている[12,13].

回路の安全性を示す尺度として,攻撃者がSR の構造を特定する確率はSRと等価な回路数の 逆数に比例することから,SR 等価回路の個数 を明らかにすることは重要なことである.本論 文では強セキュアな SR 等価回路の列挙を行い, 強セキュアな SR 等価回路の個数を明らかにす る.

本論文の構成を次に示す. 第2章で強セキュ アな SR 等価回路について説明し, 第3章で強 セキュア SR 回路族を定義する. 第4章で本論 文のまとめと今後の方針を述べる.

#### 2. 強セキュアな SR 等価回路

強セキュアな SR 等価回路とは、回路内のス キャンチェーンを暗号化することで、スキャン ベース攻撃やサイドチャネル攻撃などの脅威よ り回路内の機密情報を守る SR 構造である.以 下に強セキュアな SR 等価回路の構成に必要な 基本構造を定義する.なお本論文において変数 k は SR 回路の FF の個数とする.



Enumeration of Strongly Shift Register Equivalents for Secure Scan Design Masayuki KONDOU, Hiroshi YAMAZAKI, Toshinori HOSOKAWA and Hideo FUJIWARA





定義1: *k段SR*の状態遷移図を*k次ドブル* イングラフと呼ぶ(図1).

**定義 2**: k 次ドブルイングラフと同型な状態 遷移図を *k 次拡張ドブルイングラフ*と呼ぶ.こ のとき状態割当て,入出力割当ては同一でなく ても良い(図 2(b)).

定義3:状態遷移図がk次拡張ドブルイング ラフとなる回路を *k段SR*と呼ぶ(図2(a)).

**定義 4**:回路 C の k 次拡張ドブルイングラフ において,対応する状態割当てが k 次ドブルイ ングラフと異なっている(入出力割当ては同一 でなくても良い)場合,その状態を*安全状態*と呼 ぶ(図 2).

**定義5**:回路Cに対し,Cの全状態が安全状 態である(入出力割当ては同一でなくても良い) 場合,Cを*強セキュアなSR回路*と呼ぶ(図2(a)).

**定義6**:回路Cに対し、Cの全状態が安全状 態かつ対応する入出力割当てがk次拡張ドブル イングラフと同一の場合、Cを**強セキュアなSR** 等価回路と呼ぶ.

### 2.1 強セキュアの判定

k 段ドブルイングラフを基に強セキュアの判 定を行う場合,全状態を判定する必要がある. しかしながら,k 段 SR の状態数は 2<sup>k</sup>となり, 状態数は指数的に増加するため,k 段ドブルイ ングラフの生成は困難である.そのため,強セ キュアであるか,否かの判定には記号シミュレ ーションを用いる.

記号シミュレーションを用いて判定を行う際,

それぞれの状態が制御・観測からみて安全であ る必要がある.

定義7:回路Cにおいて,任意の状態に遷移 させる入力系列が,SRの入力系列と異なる場 合,*スキャンイン安全*と定義する.

**定義 8**:回路 C において,任意の状態から出 力される長さ k の出力系列が,SR の出力系列 と異なる場合,*スキャンアウト安全*と定義する. 図 3(a)に,図 1(a)の回路に対する記号シミュ レーションの結果,図 3(b)に,図 2(a)の回路に 対する記号シミュレーションの結果を示す.

任意の状態(y<sub>1</sub>,y<sub>2</sub>,y<sub>3</sub>)=(x<sub>3</sub>,x<sub>2</sub>,x<sub>1</sub>)とし,この状態 に遷移させる入力系列{ $x(t_1),x(t_2),x(t_3)$ }は記号 シミュレーション結果より,SR では入力系列 { $x(t_1),x(t_2),x(t_3)$ }=( $x_1,x_2,x_3$ )となり,図 3(b)の回 路では入力系列{ $x(t_1),x(t_2),x(t_3)$ }=( $\neg x_1, \neg x_2, \neg$ x<sub>3</sub>)となる.二つの入力系列( $x_1,x_2,x_3$ ),( $\neg x_1, \neg$ x<sub>2</sub>, $\neg x_3$ )は異なっているため図 3(b)の回路はス キャンイン安全となる.

任意の状態を $(y_1, y_2, y_3)$ とし、この状態から出 力される出力系列 $\{z(t_1), z(t_2), z(t_3)\}$ は記号シミュ レーション結果より、SR では出力系列  $\{z(t_1), z(t_2), z(t_3)\}=(y_3, y_2, y_1)$ となり、図 3(b)の回路 では出力系列 $\{z(t_1), z(t_2), z(t_3)\}=(\neg y_3, \neg y_2, \neg y_1)$ となる.二つの出力系列 $(y_3, y_2, y_1)$ 、( $\neg y_3, \neg y_2$ ,  $\neg y_1$ )は異なっているため図 3(b)の回路はスキ ャンアウト安全となる.

| x     |                       | • y <sub>1</sub>      | • y <sub>2</sub>      | → y <sub>3</sub>      | → Z            |
|-------|-----------------------|-----------------------|-----------------------|-----------------------|----------------|
| 時刻t   | x                     | <i>y</i> <sub>1</sub> | $y_2$                 | <i>y</i> <sub>3</sub> | z              |
| $t_1$ | <i>x</i> <sub>1</sub> | <i>y</i> <sub>1</sub> | $y_2$                 | <i>y</i> <sub>3</sub> | y <sub>3</sub> |
| $t_2$ | <i>x</i> <sub>2</sub> | <i>x</i> <sub>1</sub> | $y_1$                 | <i>y</i> <sub>2</sub> | y <sub>2</sub> |
| $t_3$ | <u>x</u> 3            | <i>x</i> <sub>2</sub> | $x_1$                 | $y_1$                 | <u>y</u> 1     |
|       |                       | x <sub>3</sub>        | <i>x</i> <sub>2</sub> | <i>x</i> <sub>1</sub> |                |

(a)SR 回路に対する記号シミュレーション結



(b) 図 2(b)の回路に対する記号シミュレーション結果

# 図 3. 記号シミュレーションを用いた強セキュ ア判定



# 3. 強セキュアな SR 等価回路族と濃度

拡張 SR を実現する 5 種の線形回路, I<sup>2</sup>SR (Inverter Inserted Shift Register), LF<sup>2</sup>SR (Linear Feed-Forward Shift Register), LFSR (Linear Feedback Shift Register), I<sup>2</sup>SR+LF<sup>2</sup>SR, I<sup>2</sup>SR+LFSR を用いて,強セキ ュアな SR 等価回路族と濃度について考察する.

### $3.1 I^2SR$

I<sup>2</sup>SR は SR 回路に NOT ゲートを挿入した 回路である(図 2, 図 3(b)参照).

定理 1:外部入力を入力とする FF に対し、 入力にのみ NOT ゲートを挿入し,回路全体で NOT ゲートがそれのみの I<sup>2</sup>SR はスキャンアウ ト安全ではない(図 4(a)参照).

**定理 2:** FF からの出力が外部出力となる FF に対し、出力にのみ NOT ゲートを挿入し、回 路全体で NOT ゲートがそれのみの I<sup>2</sup>SR はスキ ャンイン安全ではない(図 4(b)参照).

k 段 I<sup>2</sup>SR の総数は NOT ゲートの挿入箇所が k+1 であることから、2<sup>k+1-1</sup> となる. 強セキュ アな k 段 I<sup>2</sup>SR は定理 1, 定理 2 より 2<sup>k+1-3</sup> と なる. また, SR 等価かつ強セキュアな k 段 I<sup>2</sup>SR は 2<sup>k-1</sup> となる.

#### 3.2 LF<sup>2</sup>SR と LFSR

LF<sup>2</sup>SR は SR の入力方向から出力方向へ XOR ゲートによるフィードフォワードの接続 を付加した回路である(図 5(a)参照).

LFSRはSRの出力方向から入力方向へXOR ゲートによるフィードバックの接続を付加した 回路である(図 5(b)参照).

**定理 3**: XOR ゲートのみを挿入された SR 回 路で行われる演算は,排他的論理和のみとなる (図 5 参照).すなわち,初期状態(0,0,…,0) に対して入力系列が(0,0,…,0)のときの遷移 する状態は(0,0,…,0)かつ出力系列は(0,0, …,0)となる.したがって,LF<sup>2</sup>SR と LFSR に 属する回路は,構造に関わらず強セキュアにな らない.

k段LF<sup>2</sup>SR, k段LFSRの総数は, どちらも 2<sup>k(k+1)/2-1</sup>である.強セキュアなk段LF<sup>2</sup>SR, k 段LFSRの数は定理3より0(存在しない)とな る.また, SR等価かつ強セキュアなk段LF<sup>2</sup>SR, k段LFSRは,定理3より0となる.

#### 3.3 I<sup>2</sup>SR+LF<sup>2</sup>SR ≿ I<sup>2</sup>SR+LFSR

I<sup>2</sup>SR+LF<sup>2</sup>SR は LF<sup>2</sup>SR に NOT ゲートを, I<sup>2</sup>SR+LFSR は LFSR に NOT ゲートを挿入し た回路である.

**定理 4**:SR 等価かつスキャンイン安全な I<sup>2</sup>SR+LF<sup>2</sup>SR は強セキュアである.

# **定理 5**: SR 等価かつスキャンアウト安全な I<sup>2</sup>SR+LFSR は強セキュアである.



|                    | SR 等価 | 強セキュア | 非強セキュア |  |  |  |
|--------------------|-------|-------|--------|--|--|--|
|                    | 回路総数  | 回路数   | 回路数    |  |  |  |
| I <sup>2</sup> SR+ | 0.45  | 766   | 100    |  |  |  |
| $\rm LF^2SR$       | 940   | 799   | 190    |  |  |  |
| I <sup>2</sup> SR+ | 045   | 750   | 107    |  |  |  |
| LFSR               | 940   | 730   | 107    |  |  |  |

表1. 定理4, 定理5の検証結果

定理 4, 定理 5 の証明のため SREEP を用い て 4 段 I<sup>2</sup>SR+LF<sup>2</sup>SR(I<sup>2</sup>SR+LFSR)を検証した (表 1 参照).

k 段 I<sup>2</sup>SR+LF<sup>2</sup>SR, k 段 I<sup>2</sup>SR+LFSR の総数 は,どちらも(2<sup>k(k+1)/2-1</sup>)(2<sup>k+1-1</sup>)となる. 定理 4, 定理 5 より強セキュアな k 段 I<sup>2</sup>SR+LF<sup>2</sup>SR, k 段 I<sup>2</sup>SR+LFSR は少なくとも(2<sup>k(k-1)/2-1</sup>)(2<sup>k-1</sup>)と なる.また,SR 等価かつ強セキュアな k 段 I<sup>2</sup>SR+LF<sup>2</sup>SR, k 段 I<sup>2</sup>SR+LFSR は,少なくと も(2<sup>k(k-1)/2-1</sup>)(2<sup>k-1</sup>)となる.

#### 4. まとめと今後の方針

本論文では強セキュアな SR 等価回路の列挙 を行い,強セキュアな SR 等価回路の個数を明 らかにした.

今後の研究方針として[10, 11]で示されている SR 等価回路に対し, SR 等価性を維持しつつ SR 等価回路の強セキュアを実現する手法の提 案を目指す.

# 参考文献

[1]. H. Fujiwara. *Logic Testing and Design for Testability.* The MIT Press, 1985.

 [2]. B.Yang, K. Wu, and R.Karri. "Scan based side channel attack on dedicated Hardware implementations of data eneryption standard," International Test Conference 2004,pp339-344,2004

[3]. B. Yang, K.Wu, and R. Karri, "Secure scan: A design-for-test architecture for crypto chips," IEEE Trans. on Computer-Aided Design of Integrated Circuits and Systems, vol.25, no.10, pp.2287–2293, 2006.

[4]. D. Hely, F. Bancel, M. L. Flottes, B. Rouzeyre, and N.Berard. "Scan design and secure chip" 10<sup>th</sup> IEEE Intertional On-line Testing Symposium,

[5]. J. Lee, M. Tehranipoor, C. Patel, and J. Plusquellic, "Securing designs against scan-based side-channel attacks," IEEE Trans. on Dependable

and Secure Computing, vol.4, no.4, pp.325–336, 2007.

[6]. S. Paul, R. S. Chakraborty, and S. Bhunia, "VIm-Scan: A low overhead scan design approach for protection of secret key in scan-based secure chips," Proc. 25th IEEE VLSI Test Symposium. pp.455–460,2007.

[7]. G. Sengar, D. Mukhopadhyay, and D. R. Chowdhury, "Secured flipped scan-chain model for crypto-architecture," IEEE Trans. On Computer-Aided Design of Integrated Circuits and Systems, vol.26, no.11, pp.2080–2084, Nov. 2007.

[8]. M.Inoue, T.Yoneda, M.Hasegawa, and H.Fujiwara,"Partial scan approach for secret information protection,"14<sup>th</sup> IEEE European Test Symposium, pp.143-148,May.2009

[9] U. Chandran, and D. Zhao, "SS-KTC: A high-testability lowoverhead scan architecture with multi-level security integration," Proc. 27th IEEE VLSI Test Symposium, pp.321–326, 2009.

[10] H. Fujiwara, and M. E. J. Obien, "Secure and testable scan design using extended de Brujin graph," Proc. 15th Asia and South Pacific Design Automation Conference, pp.413–418, 2010.

[11].H.Fujiwara,K.Fujiwara,and

H.Tamamoto,"Enumeration and Synthesis of Shift Registar Equivalents for Secure Scan Design", IEICE DC2009-58, pp13-18, 2009,12

[12]. K. Fujiwara, and H. Fujiwara, "Generalized feed-forward shift registers

and their application to secure scan design," IEICE Trans. on

Inf. & Syst. vol.E96-D, no.5, pp.1125-1133, 2013.

[13]. Hideo FUJIWARA, Fellow and Katsuya FUJIWARA, Member, "Strongly Secure Scan Design Using Generalized Feed Forward Shift

Registers", IEICE Trans. on Information and Systems, Vol.E98-D, No.10, pp.1852-1855, October 2015