情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成28年度秋期 午前Ⅱ 問10: サイドチャネル攻撃の手法であるタイミング攻撃の対策として，最も適切なものはどれか。

問題本文

サイドチャネル攻撃の手法であるタイミング攻撃の対策として，最も適切なものはどれか。

選択肢

• ア.演算アルゴリズムに対策を施して，機密情報の違いによって演算の処理時間に差異が出ないようにする。
• イ.故障を検出する機構を設けて，検出したら機密情報を破壊する。
• ウ.コンデンサを挿入して，電力消費量が時間的に均一になるようにする。
• エ.保護層を備えて，内部のデータが不正に書き換えられないようにする。

正解

ア. 演算アルゴリズムに対策を施して，機密情報の違いによって演算の処理時間に差異が出ないようにする。

解説

タイミング攻撃は、暗号処理の所要時間が秘密情報(鍵やパスワード)の値で変わる性質を測定して情報を推定するサイドチャネル攻撃。対策は、処理時間が機密情報に依存しないよう演算アルゴリズムを定数時間化することである。よってアが正解。実務ではパスワード比較や復号で定数時間処理を用いる。

選択肢ごとの解説

• ア.機密情報で処理時間に差が出ないよう定数時間化する点が正解。
• イ.故障検出による情報破壊は故障利用攻撃への対策でタイミング攻撃向けではない。
• ウ.電力消費を均一化するのは電力解析攻撃への対策で焦点がずれており誤り。
• エ.保護層で書換えを防ぐのは耐タンパ性の対策でタイミング攻撃対策ではない。