Transcript PPT:242KB

法定計量器の組込ソフトウェア
の照合技術について
産業技術総合研究所
システム検証研究ラボ
松岡聡、木下佳樹、高橋孝一
計測標準研究部門
田中充、浜川剛、伊藤武
内容
• 法定計量とは？
• 型式承認制度とは？
• 法定計量器の組込ソフトウェアに生じつつあ
る（あるいはすでに生じている）問題点
• 解決案の提案
内容
• 法定計量とは？
• 型式承認制度とは？
• 法定計量器の組込ソフトウェアに生じつつあ
る（あるいはすでに生じている）問題点
• 解決案の提案
法定計量とは？
• 貿易、健康、安全、環境に関連する計量を行
う場合、このような計量が適切な品質を持ち
信用に足るものであると、公的機関が保証を
与える必要がある場合がある
• 法定計量は上記のような活動の総称
法定計量に携わる機関
• 国際機関
OIML (The International Organization of
Legal Metrology)
• 日本
産総研計測標準研究部門（通称NMIJ）つくば
と扇町）
田中充副部門長（OIML委員）
• 米国ではNIST
内容
• 法定計量とは？
• 型式承認制度とは？
• 法定計量器の組込ソフトウェアに生じつつあ
る（あるいはすでに生じている）問題点
• 解決案の提案
型式承認制度とは？
• 工業製品の大量生産の時代に計量器を一台一台
づつ検定を公的機関が行うことは事実上不可能
• よって、製品の型ごとに検査を行い、決められた基
準を満たせば、公的機関がこの製品を商取引（非自
動秤）、公共料金(電気メーターなどのメータ類）、飲
酒運転の取り締まり（アルコール検知器）への使用
許可を与える
法定計量器の例
•
•
•
•
非自動秤(スーパーにおいてある秤など）
電気メーター
タクシーメーター
家庭用体温計(医療用は厚生省の管轄）
内容
• 法定計量とは？
• 型式承認制度とは？
• 法定計量器の組込ソフトウェアに生じつつあ
る（あるいはすでに生じている）問題点
• 解決案の提案
オペレータ側画面（表示）
重量
単価
125 g
132 円
カルビ
値段
165
肩ロース
風袋量
円
ゼロ点
0g
ばら
印刷
オペレータ側画面（印刷）
重量
単価
125 g
132 円
カルビ
値段
165
風袋量
円
ゼロ点
0g
肩ロース
ばら
印刷
なこうじ精肉店
肩ロース
重さ 125g
単価 132円
値段 165円
平成１５年１１月１３日１７時２０分
明日の天気
雨
ロードセル
非自動秤
A/Dボード 安定性のチェック
ADコン
バータ
（ROM）
ゼロトラッキング
etc
デジタル値および
付加情報
メイン処理部（ROM)
重量の計算
価格計算
（フラッシュメモリ)
表示部
重さ 245g
単価 132円
値段 323円
かわらや青果店
トマト
重さ 245g
単価 132円
値段 323円
平成１５年１１月１３日１７時２０分
明日の天気
雨
etc
プリンター
ネットワーク
問題点
•
外部からの組み込みソフトウェアの改竄の
危険性
1. 金額や重量のごまかし
2. 機器を利用できなくする
内容
• 法定計量とは？
• 型式承認制度とは？
• 法定計量器の組込ソフトウェアに生じつつあ
る（あるいはすでに生じている）問題点
• 解決案の提案
ソフトウェア分離（欧州法定計量委
員会）
組込ソフトウェアを
•
•
法規制対象となるソフトウェア・モジュール
（新たに型式承認を得なければ変更不可能）
法規制対象外のソフトウェア・モジュール
(事業者はいつでも更新可能）
に分類すること
対策
•
対策１ （古典的な方法）
1. 物理的なシーリングによる完全封印
2. ネットワーク接続禁止
•
対策２ （産総研照合方式）
1. 秤の法規制対象と考えられるソフトウェア・モ
ジュールを封印、産総研に登録
2. 法規制対象外と考えられるソフトウェア・モ
ジュールはまったく封印しない。
3. 定期的に１．のソフトウェアモジュールが改竄さ
れていないか検査
ダイジェスト関数
（巨大な）ソフト
ウェアモジュール
MD5(RSA)または
SHA-1(NISTブランド)
１２８ビット
01………………………..
改竄
（巨大な）ソフト
ウェアモジュー
ル’
MD5(RSA)または
SHA-1(NISTブランド)
１２８ビット
...………………………..
2^128≒10^38通り
の可能性
型式承認申請時
登録者側
秤（型式）の中のソフ
トウェアモジュール
ダイジェスト関数
ダイジェスト
登録
ＮＭＩＪ側
ＮＭＩＪのサーバ
DB
稼動中の秤
検定時の照合
秤の中のソフトウェア
モジュール
+
ダイジェスト’
パスワード
ＮＭＩＪ
ダイジェスト’’’
ダイジェスト’’
検定官
パスワード
+
照合
ＮＭＩＪのサーバ
ダイジェスト
この照合方式の利点
1. メーカー側は法規制ソフトウェア全体を
NMIJに登録する必要は無い(ダイジェスト
のみ）
2. 秤の検定時にダイジェストを盗み見られる
心配は無い（NMIJに登録したデータは秘密
が保持される）
3. 外部からの改竄の危険性は少なくなる
4. 実装は単純
この照合方式の欠点
1. 実際のコードとはまったく関係なく、ダイジェ
ストのダイジェストを出力するように、メー
カーが細工することは簡単
2. よってNMIJは依然としてメーカーが上のよ
うな行為を行っていないと信用する必要が
ある