TCG Mobile仕様とOMTP概要

パナソニック（株）

芳賀 智之

2009.03.12

1

背景

多機能化 AV機能（音楽、動画、ワンセグ）

電子マネー

生体認証(顔認証や指紋認証)

OTA(Over The Air)による携帯電話ソフトウェアの更新

3GとGSMのデュアル端末

携帯電話特有のセキュリティ要件 IMEIデータ保護

2009.03.12

IMEIデータ保護 盗難端末利用防止。

SIMロック保護 高機能アプリケーションやデータのSIMによる不正利用防止。

携帯電話向けウィルスの登場 例：Symbian向けVirus。

携帯電話のセキュリティ実装が必要

2

Mobile Phone Working Group(MPWG)

TCG (Trusted Computing Group）におけるモバイルデバイスの仕様を定めるワークグループ

TCG-MPWG概要

Mobile Phones

TNC

Storage

Software Stack

Hard CopyPC Client

Infrastructure

TCGStandards

2009.03.12

MPWGの取り組み

モバイルデバイスのユースケースから要件を導く

PC向けのアーキテクチャをベースとして、ユースケースから導かれた要件に合うように、モバイルデバイス向けのアーキテクチャの仕様を定める

定められたアーキテクチャの要件を満たす関数やインタフェースの仕様を定める

TNC

TPMServers

ユースケース

要件 仕様

3

TCG-Mobile:仕様策定状況

Version 公開日 備考

Specifications

TCG Mobile Trusted ModuleSpecification

Version 0.9 2006/9/12 MTMコマンドやSecureBootなどMTM仕様を記載。

Version 1.0Revision 6

2008/6/26

TCG Mobile Reference Version 1.0 2008/6/26 MTMを実装する際のリファ

2009.03.12

TCG Mobile ReferenceArchitecture

Version 1.0Revisoin 5

2008/6/26 MTMを実装する際のリファレンスドキュメント。

Use Cases

Mobile Phone Work Group UseCases

Version 2.7 2005/9/22 MPWGで想定している11のUse Caseを記載。

TCG Mobile Phone Work GroupSelected Usecase Analysis

Version1.0 2009/1 MTMを用いてUseCase実装する際のリファレンスドキュメント。

4

TCG-Mobile：Activeﾒﾝﾊﾞｰ

Supporters of the Mobile Trusted Module (MTM)

2009.03.12

For more information, please visit:www.trustedcomputinggroup.org/groups/mobile

Contact:admin@trustedcomputinggroup.org

参照：https://www.trustedcomputinggroup.org/news/presentations/JanneUusilehtosPresentationIXConference2007SecurityTrack.pdf

5

MPWG

TCG-Mobile: Mobile Trusted Module Use Cases

①Platform Integrity

②Device Authentication

③Robust DRMImplementation

⑨Software Use

⑩Prove Integrityto End Users

⑪User Data Protection＆Privacy

2009.03.12

MPWGUse Cases

Implementation

④SIMLock/DevicePersonalization

⑤Secure Software Download

⑥Secure Channelbetween Device＆UICC

⑦Mobile Ticketing

⑧Mobile Payment

6

TCG-Mobile: Use Cases(1/3)

PlatformOS

BIOS

HardwareIMEI

※IMEI（International MobileEquipment Identity)：携帯電話端末の固有番号

ﾃﾞｼﾞﾀﾙｺﾝﾃﾝﾂを保護可能な実装であることをサービスプロバイダに

保証する

② 保護されたコンテンツ

① 保護されたコンテンツの要求

サービスプロバイダ

③Robust DRMImplementation

①Platform Integrity

・OSやアプリケーションの完全性チェック。

・IMEIデータの改竄ﾁｪｯｸ

2009.03.12

サービスプロバイダ

③ サービスの許可・不許可

① 認証のリクエスト

② 認証用データ（IDなど）

ネットワークプロバイダ

SIMLockされたデバイス

SIMカード（※）

他のプロバイダへ無許可での移行を禁止

特定のネットワークへ接続

（※）SIMカード：携帯電話で使われている電話番号を特定するための固有のID番号が記録されたICカード

②Device Authentication④SIMLock/DevicePersonalization

デバイスと正当なユーザを関連づける

許可なしにSIMロックを解除させない

7

TCG-Mobile: Use Cases(2/3)

⑦Mobile Ticketing⑤Secure Software Download

ネットワークプロバイダアプリケーションを安

全にダウンロードする

アップデート、パッチのインストール

ダウンロードの要求

サービスプロバイダ

チケットの複製・改ざんを

防止

チケットのダウンロード

チケットの購入

チケットの使用

チケットリーダ

2009.03.12

⑧Mobile Payment⑥Secure Channel

between Device＆UICC

UICCとデバイス間で安全なデータ移動を実現

UICC

UICC(※)に記憶したデータ（鍵、電子現金）を移動可能

※UMTS（ヨーロッパの第3世代(3G)移動体通信システム）に対応する次世代の汎用ICカード

新規デバイスサービスプロバイダ／銀行

モバイル商取引が安全に処理する

サービスの許可・不許可

Mobile Paymentの手続き

商品の購入POS

商品

8

TCG-Mobile: Use Cases(3/3)

⑨Software Use⑪User Data Protection

＆Privacy

Platform

OS

Application ID

②リボーケーションリストに登録されていなければ実行 リボケーション

リスト①確認

ユーザデータ

個人情報

連絡帳／アドレス帳

電子マネー解析

ユーザーデータを保護

不正なアプリの実行を防止する

2009.03.12

⑩Prove Integrityto End Users

Platform

OS

Application

① 電源オン

デバイスやアプリが信頼できる

② OK

① 電源オン

② 警告

Platform

OS

Application

デバイスやアプリが信頼できる

改ざん例）PIN入力アプリ例）PIN入力アプリ

端末の完全性検証の結果をユーザに通知

例）PIN入力アプリ例）PIN入力アプリ

9

TCG-Mobile:要件

MTMに対するユースケースから出てきた要件 Multi Stakeholderモデル

携帯電話内に複数の権利者(ステークホルダー) モデルを実現する

各権利者に対し、それぞれ独立の信頼の基を持たせる

Secure Boot

ユースケースで必要不可欠なPlatform Integrityを実現するために、プラットフォームの完全性の検証をローカルで行う

2009.03.12

トフォームの完全性の検証をローカルで行う

10

携帯電話内に複数の権利者(ｽﾃｰｸﾎﾙﾀﾞｰ)が存在し、それぞれ独立に信頼根を持つ

TCG-Mobile: Multi Stakeholderモデル

deviceservices

TrustedServices

cellularservices

TrustedServices

appsservices

TrustedServices

userservices

TrustedServices

依存関係

矢印の先が依存基

デバイスエンジン セルラーエンジンアプリケーションエンジン ユーザエンジン

携帯端末

2009.03.12

Mobile Remote-Owner Trusted Module (MRTM) デバイス、キャリア、アプリケーションのエンジン(プラットフォーム)が持つ信頼の基

権利者が携帯電話を直接扱うことができないためSecure Bootが必要

MTMで新たに定義したコマンドとTPMのコマンドの一部を実装

Mobile Local Owner Trusted Module (MLTM) ユーザのエンジンが持つ信頼の基

ユーザが携帯電話を直接扱えるため、実行したいソフトウェアのロードができる

TPMのコマンドの一部を実装(MTMの追加コマンドは不要)

MRTM MRTM MRTM MLTM

11

TCG-Mobile: Secure Boot概要

RTV+RTMから順に検証しながら起動することで、プラットフォームの完全性を検証する

Measurementand Verification

OS

2.Mesurement of

6.Execute OS

4.Measurement of OS

検証するagentのmeasurementを送る検証するagentの

measurementを送る

OSのmeasurementを送るOSのmeasurementを送る

完全性の検証をし、証明書のPCRをExtendする完全性の検証をし、証明書のPCRをExtendする

2009.03.12

MRTM

Mobile Specific Commands

Subset of TPM v1.2(RTS + RTR)

RTS: Root-of-Trust for StorageRTR: Root-of-Trust for Reporting

RTV + RTM

RTV:Root-of-Trust for VerificationRTM : Root-of-Trust for Measurement

and Verificationagent

1.MTM_VerifyRIMCertAndExtend

2.Mesurement of

Verification Agent

3.ExecuteVerification Agent

5.MTM_VerifyRIMCertAndExtend

書のPCRをExtendする書のPCRをExtendする

完全性の検証をし、証明書のPCRをExtendする完全性の検証をし、証明書のPCRをExtendする

12

OMTPとは

OMTP(http://www.omtp.org/) 2004年6月、世界の主要キャリア（Orange,Vodafone等）によって設

立された携帯端末に搭載される端末プラットフォーム技術を検討する目的で設立されたコンソーシアム。

現在のOMTPメンバーは、35社であり、キャリアだけでなく、端末メーカー、チップメーカー、ソフトウェアやOSベンダー等が参加している。（次スライド参照）

OMTPは、IMEI・SIMロック保護やセキュアブート実装をはじめとする

2009.03.12

OMTPは、IMEI・SIMロック保護やセキュアブート実装をはじめとする携帯電話向けのセキュリティ要件を規定している。

これらのセキュリティ要件は、TR0とTR1の2つのドキュメントに記載されている。（TR1は、TR0の拡張版）

13

OMTPメンバー

2009/2/6現在のOMTPメンバ(http://www.omtp.org/)

Members

AT&T

Hutchinson ３G

Orange

Telefonica

TIM Telecom Italia

Sponsors

Ericsson

Nokia

Advisors

Access Nuance

Aplix Corp. Opera Software

Communology Perple Labs

Comverse Qualcomm

Freescale Samsung

2009.03.12

T-Mobile

Vodafone

Gemalto SanDisk Corpration

Huawai Sony Ericsson

Infineon Spansion

Intel STMicroelectronics

LG Electronics Sun

Motorola Symbian

NexPerience Texas Instruments

14

OMTP TR0：想定脅威

想定脅威 ソフトウェアからの攻撃

プローブ攻撃

ボードレベルのソフトウェアベースのデバッグ

外部の物理インターフェース

非破壊的なメモリデータの置換

ハードウェア部品の除去や入れ替え

2009.03.12

フラッシュやEPROMなどの不揮発メモリ内容の修正

参照：OMTP TR0ドキュメントhttp://members.omtp.org/Lists/ReqPublications/Attachments/16/OMTP_Trusted_Environment_OMTP_TR0_v1.1.pdf

15

OMTP TR0:セキュリティ要件

項目 要件（一部抜粋）

ハードウェアユニーク鍵 鍵長は128ビット以上。

デバッグポート 承認されないデバッグポートへのアクセスの防止

IMEI ブート時に、IMEI関連ソフトウェアの改変が検知された場合、端末はIMEIが関係するいかなる他ネットワークへの接続を禁止する。

SIMロック ブート時と実行時に、ソフトウェアによるSIM-Lock機構の改竄を検知できる

こと

2009.03.12

参照：OMTP TR0ドキュメントhttp://members.omtp.org/Lists/ReqPublications/Attachments/16/OMTP_Trusted_Environment_OMTP_TR0_v1.1.pdf

こと

セキュアブート セキュアブートプロセスとして、ソフトウェアコンポーネントは使用前に完全性

（Integrity）と正当性（Authenticity）を検証されなければならない。

DRM DRM AgentとDRMに関連した暗号系のソフトウェアの正当性と完全性が

ブート時もしくは、利用前に検証されなければならない。

フラッシュの更新 セキュアなフラッシュ更新処理をハンドリングするソフトウェアの完全性を保護すること。

16

OMTP TR1:想定脅威

想定脅威 メモリアクセス用のハードウェアモジュール（DMA等）に対する攻撃

表示データインターフェースに対する攻撃

バッテリーや外部メモリカード取り外し時のセキュリティバイパス攻撃

電源オフ時（ブート前：Pre-Boot）のフラッシュメモリ置換攻撃

電源オン時（ブート後：Post-Boot）のフラッシュメモリ置換攻撃

バスモニタリングによる秘密情報の盗聴

2009.03.12

外部RAM上のデータに対するMODチップ攻撃

参照：OMTP TR1http://members.omtp.org/Lists/ReqPublications/Attachments/46/OMTP_Advanced_Trusted_Environment_OMTP_TR1_v1_0.pdf

17

OMTP TR1:セキュリティ要件

項目 要件（一部抜粋）

コア機能 センシティブなコードやデータや鍵データは、Flashに対する静的改ざんや置き換えの防止すること。 鍵については動的改竄／置き換えも防止すること。

トラストな実行環境 ハードウェアユニーク鍵は、Flashに対する動的改ざんや置き換えを防止すること。

セキュアストレージ センシティブなデータは、暗号化保存、もしくは完全性保護した上で暗号化して

保存すること。

セキュアブート クリティカルコードとノンクリティカルコードが存在し、クリティカルコードの検証で失敗したら、ブートプロセスはアボートされること。

2009.03.12参照：OMTP TR1http://members.omtp.org/Lists/ReqPublications/Attachments/46/OMTP_Advanced_Trusted_Environment_OMTP_TR1_v1_0.pdf

敗したら、ブートプロセスはアボートされること。また、クリティカルコード検証はパスし、ノンクリティカル検証NGの場合、ブートを

アボートせずクリティカルコードをブートしてもよい。

動的なインテグリティチェック

動的インテグリティチェック機能のコードやデータは、セキュアブート機能によって保証されること。

ユーザの入出力に対するセキュアなアクセス

ユーザ入出力に関するセキュアなコードとデータ資産は、セキュアブートで完全性検証をされること。

USIMとME間でのセキュア通信

アプリケーションが利用するセキュアチャネル機能は、トラストな実行環境から実

行されること。

18

まとめ

TCG Mobile Phone Working Groupで想定しているユースケースと、TCG-Mobile(MTM)仕様とOMTPのセキュリティ要件（TR0とTR1）の概要を説明した。

今後、携帯電話でAndroidに代表されるオープンプラットフォームの採用が進み、PC同様の脅威にされることが予想される。このときTCG-Mobile仕様やOMTPの採用は問題の

2009.03.12

される。このときTCG-Mobile仕様やOMTPの採用は問題の解決策になることが期待され、その動向が注目される。