Document

法定計量器の組込ソフトウェア
の照合技術について
産業技術総合研究所
システム検証研究ラボ
松岡聡、木下佳樹、高橋孝一
計測標準研究部門
田中充、浜川剛、伊藤武
内容
• 法定計量とは?
• 型式承認制度とは?
• 法定計量器の組込ソフトウェアに生じつつあ
る(あるいはすでに生じている)問題点
• 解決案の提案
内容
• 法定計量とは?
• 型式承認制度とは?
• 法定計量器の組込ソフトウェアに生じつつあ
る(あるいはすでに生じている)問題点
• 解決案の提案
法定計量とは?
• 貿易、健康、安全、環境に関連する計量を行
う場合、このような計量が適切な品質を持ち
信用に足るものであると、公的機関が保証を
与える必要がある場合がある
• 法定計量は上記のような活動の総称
法定計量に携わる機関
• 国際機関
OIML (The International Organization of
Legal Metrology)
• 日本
産総研計測標準研究部門(通称NMIJ)つくば
と扇町)
田中充副部門長(OIML委員)
• 米国ではNIST
内容
• 法定計量とは?
• 型式承認制度とは?
• 法定計量器の組込ソフトウェアに生じつつあ
る(あるいはすでに生じている)問題点
• 解決案の提案
型式承認制度とは?
• 工業製品の大量生産の時代に計量器を一台一台
づつ検定を公的機関が行うことは事実上不可能
• よって、製品の型ごとに検査を行い、決められた基
準を満たせば、公的機関がこの製品を商取引(非自
動秤)、公共料金(電気メーターなどのメータ類)、飲
酒運転の取り締まり(アルコール検知器)への使用
許可を与える
法定計量器の例
•
•
•
•
非自動秤(スーパーにおいてある秤など)
電気メーター
タクシーメーター
家庭用体温計(医療用は厚生省の管轄)
内容
• 法定計量とは?
• 型式承認制度とは?
• 法定計量器の組込ソフトウェアに生じつつあ
る(あるいはすでに生じている)問題点
• 解決案の提案
オペレータ側画面(表示)
重量
単価
125 g
132 円
カルビ
値段
165
肩ロース
風袋量
円
ゼロ点
0g
ばら
印刷
オペレータ側画面(印刷)
重量
単価
125 g
132 円
カルビ
値段
165
風袋量
円
ゼロ点
0g
肩ロース
ばら
印刷
なこうじ精肉店
肩ロース
重さ 125g
単価 132円
値段 165円
平成15年11月13日17時20分
明日の天気
雨
ロードセル
非自動秤
A/Dボード 安定性のチェック
ADコン
バータ
(ROM)
ゼロトラッキング
etc
デジタル値および
付加情報
メイン処理部(ROM)
重量の計算
価格計算
(フラッシュメモリ)
表示部
重さ 245g
単価 132円
値段 323円
かわらや青果店
トマト
重さ 245g
単価 132円
値段 323円
平成15年11月13日17時20分
明日の天気
雨
etc
プリンター
ネットワーク
問題点
•
外部からの組み込みソフトウェアの改竄の
危険性
1. 金額や重量のごまかし
2. 機器を利用できなくする
内容
• 法定計量とは?
• 型式承認制度とは?
• 法定計量器の組込ソフトウェアに生じつつあ
る(あるいはすでに生じている)問題点
• 解決案の提案
ソフトウェア分離(欧州法定計量委
員会)
組込ソフトウェアを
•
•
法規制対象となるソフトウェア・モジュール
(新たに型式承認を得なければ変更不可能)
法規制対象外のソフトウェア・モジュール
(事業者はいつでも更新可能)
に分類すること
対策
•
対策1 (古典的な方法)
1. 物理的なシーリングによる完全封印
2. ネットワーク接続禁止
•
対策2 (産総研照合方式)
1. 秤の法規制対象と考えられるソフトウェア・モ
ジュールを封印、産総研に登録
2. 法規制対象外と考えられるソフトウェア・モ
ジュールはまったく封印しない。
3. 定期的に1.のソフトウェアモジュールが改竄さ
れていないか検査
ダイジェスト関数
(巨大な)ソフト
ウェアモジュール
MD5(RSA)または
SHA-1(NISTブランド)
128ビット
01………………………..
改竄
(巨大な)ソフト
ウェアモジュー
ル’
MD5(RSA)または
SHA-1(NISTブランド)
128ビット
...………………………..
2^128≒10^38通り
の可能性
型式承認申請時
登録者側
秤(型式)の中のソフ
トウェアモジュール
ダイジェスト関数
ダイジェスト
登録
NMIJ側
NMIJのサーバ
DB
稼動中の秤
検定時の照合
秤の中のソフトウェア
モジュール
+
ダイジェスト’
パスワード
NMIJ
ダイジェスト’’’
ダイジェスト’’
検定官
パスワード
+
照合
NMIJのサーバ
ダイジェスト
この照合方式の利点
1. メーカー側は法規制ソフトウェア全体を
NMIJに登録する必要は無い(ダイジェスト
のみ)
2. 秤の検定時にダイジェストを盗み見られる
心配は無い(NMIJに登録したデータは秘密
が保持される)
3. 外部からの改竄の危険性は少なくなる
4. 実装は単純
この照合方式の欠点
1. 実際のコードとはまったく関係なく、ダイジェ
ストのダイジェストを出力するように、メー
カーが細工することは簡単
2. よってNMIJは依然としてメーカーが上のよ
うな行為を行っていないと信用する必要が
ある