Raspberry Pi財団は2025年11月3日、RP2350マイクロコントローラのセキュリティを検証する「RP2350 Hacking Challenge 2」の提出期限を2025年12月31日深夜(英国時間)まで延長すると発表した。約3カ月前に開始された同チャレンジは、サイドチャネル攻撃への耐性を強化した新型AESライブラリの安全性を検証することを目的としている。
同財団によると、複数のチームや個人がチャレンジに取り組んでおり、新型AESライブラリは現時点では破られていないものの、進展が見られているという。期限延長により、参加者がさらに検証を進める機会を提供するとしている。
RP2350は、Raspberry Pi Pico 2などに搭載されているマイクロコントローラで、2024年8月に発表された。同財団は2024年10月にリリースしたPico SDK 2.2.0で、RP235xシリーズ向けにAES暗号化機能を追加した。この機能により、フラッシュメモリに保存されたソフトウェアとデータをAES暗号化し、起動時にオンチップSRAMへ安全に復号できる。これは、ソフトウェアやアプリケーションデータをリバースエンジニアリング、逆コンパイル、フラッシュ読み出し、改ざんから保護したい顧客にとって重要な機能だという。
多くのAES実装(ソフトウェアとハードウェアの両方)は、サイドチャネル攻撃に対して脆弱だ。これらの攻撃の多くは、チップがAES暗号化データを復号している間の動作を示す数十万から数百万のトレースを記録し、慎重に分析することを伴う。通常、これらは消費電力や電磁放射の時系列測定だ。これらの測定値を使用することで、漏洩しているデータを学習または検出することが可能になり、このデータを使ってAES鍵の有効長を短縮し、残りの鍵をブルートフォース攻撃で解読可能な範囲まで削減できる場合が多い。
Raspberry Pi財団は、RP2350をこれらの攻撃から保護するため、専門家と協力してカスタムAES実装を強化し、サイドチャネル攻撃に対してテストした。同財団は、セキュリティ分析ツールを提供するNewAE Technologyと、セキュリティコンサルティング企業のhextree.ioの協力を得てチャレンジを実施している。
詳細はRP2350 Hacking Challenge 2のページで確認できる。同財団は、新しい期限が過ぎた後に結果の更新を発表するとしている。