法定計量器の組込ソフトウェア の照合技術について 産業技術総合研究所 システム検証研究ラボ 松岡聡、木下佳樹、高橋孝一 計測標準研究部門 田中充、浜川剛、伊藤武 内容 • 法定計量とは? • 型式承認制度とは? • 法定計量器の組込ソフトウェアに生じつつあ る(あるいはすでに生じている)問題点 • 解決案の提案 内容 • 法定計量とは? • 型式承認制度とは? • 法定計量器の組込ソフトウェアに生じつつあ る(あるいはすでに生じている)問題点 • 解決案の提案 法定計量とは? • 貿易、健康、安全、環境に関連する計量を行 う場合、このような計量が適切な品質を持ち 信用に足るものであると、公的機関が保証を 与える必要がある場合がある • 法定計量は上記のような活動の総称 法定計量に携わる機関 • 国際機関 OIML (The International Organization of Legal Metrology) • 日本 産総研計測標準研究部門(通称NMIJ)つくば と扇町) 田中充副部門長(OIML委員) • 米国ではNIST 内容 • 法定計量とは? • 型式承認制度とは? • 法定計量器の組込ソフトウェアに生じつつあ る(あるいはすでに生じている)問題点 • 解決案の提案 型式承認制度とは? • 工業製品の大量生産の時代に計量器を一台一台 づつ検定を公的機関が行うことは事実上不可能 • よって、製品の型ごとに検査を行い、決められた基 準を満たせば、公的機関がこの製品を商取引(非自 動秤)、公共料金(電気メーターなどのメータ類)、飲 酒運転の取り締まり(アルコール検知器)への使用 許可を与える 法定計量器の例 • • • • 非自動秤(スーパーにおいてある秤など) 電気メーター タクシーメーター 家庭用体温計(医療用は厚生省の管轄) 内容 • 法定計量とは? • 型式承認制度とは? • 法定計量器の組込ソフトウェアに生じつつあ る(あるいはすでに生じている)問題点 • 解決案の提案 オペレータ側画面(表示) 重量 単価 125 g 132 円 カルビ 値段 165 肩ロース 風袋量 円 ゼロ点 0g ばら 印刷 オペレータ側画面(印刷) 重量 単価 125 g 132 円 カルビ 値段 165 風袋量 円 ゼロ点 0g 肩ロース ばら 印刷 なこうじ精肉店 肩ロース 重さ 125g 単価 132円 値段 165円 平成15年11月13日17時20分 明日の天気 雨 ロードセル 非自動秤 A/Dボード 安定性のチェック ADコン バータ (ROM) ゼロトラッキング etc デジタル値および 付加情報 メイン処理部(ROM) 重量の計算 価格計算 (フラッシュメモリ) 表示部 重さ 245g 単価 132円 値段 323円 かわらや青果店 トマト 重さ 245g 単価 132円 値段 323円 平成15年11月13日17時20分 明日の天気 雨 etc プリンター ネットワーク 問題点 • 外部からの組み込みソフトウェアの改竄の 危険性 1. 金額や重量のごまかし 2. 機器を利用できなくする 内容 • 法定計量とは? • 型式承認制度とは? • 法定計量器の組込ソフトウェアに生じつつあ る(あるいはすでに生じている)問題点 • 解決案の提案 ソフトウェア分離(欧州法定計量委 員会) 組込ソフトウェアを • • 法規制対象となるソフトウェア・モジュール (新たに型式承認を得なければ変更不可能) 法規制対象外のソフトウェア・モジュール (事業者はいつでも更新可能) に分類すること 対策 • 対策1 (古典的な方法) 1. 物理的なシーリングによる完全封印 2. ネットワーク接続禁止 • 対策2 (産総研照合方式) 1. 秤の法規制対象と考えられるソフトウェア・モ ジュールを封印、産総研に登録 2. 法規制対象外と考えられるソフトウェア・モ ジュールはまったく封印しない。 3. 定期的に1.のソフトウェアモジュールが改竄さ れていないか検査 ダイジェスト関数 (巨大な)ソフト ウェアモジュール MD5(RSA)または SHA-1(NISTブランド) 128ビット 01……………………….. 改竄 (巨大な)ソフト ウェアモジュー ル’ MD5(RSA)または SHA-1(NISTブランド) 128ビット ...……………………….. 2^128≒10^38通り の可能性 型式承認申請時 登録者側 秤(型式)の中のソフ トウェアモジュール ダイジェスト関数 ダイジェスト 登録 NMIJ側 NMIJのサーバ DB 稼動中の秤 検定時の照合 秤の中のソフトウェア モジュール + ダイジェスト’ パスワード NMIJ ダイジェスト’’’ ダイジェスト’’ 検定官 パスワード + 照合 NMIJのサーバ ダイジェスト この照合方式の利点 1. メーカー側は法規制ソフトウェア全体を NMIJに登録する必要は無い(ダイジェスト のみ) 2. 秤の検定時にダイジェストを盗み見られる 心配は無い(NMIJに登録したデータは秘密 が保持される) 3. 外部からの改竄の危険性は少なくなる 4. 実装は単純 この照合方式の欠点 1. 実際のコードとはまったく関係なく、ダイジェ ストのダイジェストを出力するように、メー カーが細工することは簡単 2. よってNMIJは依然としてメーカーが上のよ うな行為を行っていないと信用する必要が ある
© Copyright 2024 ExpyDoc
