法定計量器の組込ソフトウェアの照合技術について

法定計量器の組込ソフトウェアの照合技術について法定計量器の組込ソフトウェアの照合技術について産業技術総合研究所システム検証研究ラボ松岡聡、木下佳樹、高橋孝一計測標準研究部門田中充、浜川剛、伊藤武

内容 • 法定計量とは？ • 型式承認制度とは？ • 法定計量器の組込ソフトウェアに生じつつある（あるいはすでに生じている）問題点 • 解決案の提案

法定計量とは？ • 貿易、健康、安全、環境に関連する計量を行う場合、このような計量が適切な品質を持ち信用に足るものであると、公的機関が保証を与える必要がある場合がある • 法定計量は上記のような活動の総称

法定計量に携わる機関 • 国際機関 OIML (The International Organization of Legal Metrology) • 日本産総研計測標準研究部門（通称NMIJ）つくばと扇町）田中充副部門長（OIML委員） • 米国ではNIST

型式承認制度とは？ • 工業製品の大量生産の時代に計量器を一台一台づつ検定を公的機関が行うことは事実上不可能 • よって、製品の型ごとに検査を行い、決められた基準を満たせば、公的機関がこの製品を商取引（非自動秤）、公共料金(電気メーターなどのメータ類）、飲酒運転の取り締まり（アルコール検知器）への使用許可を与える

法定計量器の例 • 非自動秤(スーパーにおいてある秤など） • 電気メーター • タクシーメーター • 家庭用体温計(医療用は厚生省の管轄）

オペレータ側画面（表示） 重量単価値段風袋量ゼロ点 g 125 円 132 円 165 0g カルビ肩ロースばら印刷

なこうじ精肉店 肩ロース重さ 125g 単価 132円値段 165円平成１５年１１月１３日１７時２０分雨明日の天気オペレータ側画面（印刷）重量単価値段風袋量ゼロ点 g 125 円 132 円 165 0g カルビ肩ロースばら印刷

ADコンバータ 非自動秤ロードセル A/Dボード（ROM）安定性のチェックゼロトラッキング etc デジタル値および付加情報メイン処理部（ROM) 　　　　（フラッシュメモリ) 重量の計算価格計算 etc 表示部かわらや青果店トマトプリンター重さ 245g 重さ 245g ネットワーク単価 132円単価 132円値段 323円値段 323円平成１５年１１月１３日１７時２０分雨明日の天気

問題点 • 外部からの組み込みソフトウェアの改竄の危険性 • 金額や重量のごまかし • 機器を利用できなくする

ソフトウェア分離（欧州法定計量委員会） 組込ソフトウェアを • 法規制対象となるソフトウェア・モジュール（新たに型式承認を得なければ変更不可能） • 法規制対象外のソフトウェア・モジュール (事業者はいつでも更新可能）に分類すること

対策 • 対策１（古典的な方法） • 物理的なシーリングによる完全封印 • ネットワーク接続禁止 • 対策２　（産総研照合方式） • 秤の法規制対象と考えられるソフトウェア・モジュールを封印、産総研に登録 • 法規制対象外と考えられるソフトウェア・モジュールはまったく封印しない。 • 定期的に１．のソフトウェアモジュールが改竄されていないか検査

１２８ビット MD5(RSA)またはSHA-1(NISTブランド) （巨大な）ソフトウェアモジュール 01……………………….. 改竄１２８ビット MD5(RSA)またはSHA-1(NISTブランド) （巨大な）ソフトウェアモジュール’ ...……………………….. 2^128≒10^38通りの可能性ダイジェスト関数

登録者側 秤（型式）の中のソフトウェアモジュールダイジェスト関数ダイジェスト登録ＮＭＩＪ側ＮＭＩＪのサーバ DB 型式承認申請時

パスワード パスワードダイジェスト’ ダイジェスト’’’ ダイジェスト’’ 検定時の照合稼動中の秤秤の中のソフトウェアモジュール + ＮＭＩＪＮＭＩＪのサーバ検定官照合 + ダイジェスト

この照合方式の利点 • メーカー側は法規制ソフトウェア全体をNMIJに登録する必要は無い(ダイジェストのみ） • 秤の検定時にダイジェストを盗み見られる心配は無い（NMIJに登録したデータは秘密が保持される） • 外部からの改竄の危険性は少なくなる • 実装は単純

この照合方式の欠点 • 実際のコードとはまったく関係なく、ダイジェストのダイジェストを出力するように、メーカーが細工することは簡単 • よってNMIJは依然としてメーカーが上のような行為を行っていないと信用する必要がある

法定計量器の組込ソフトウェアの照合技術について

法定計量器の組込ソフトウェアの照合技術について

Presentation Transcript