KR100574965B1

KR100574965B1 - 유한체 곱셈기

Info

Publication number: KR100574965B1
Application number: KR1020040003804A
Authority: KR
Inventors: 백유진
Original assignee: 삼성전자주식회사
Priority date: 2004-01-19
Filing date: 2004-01-19
Publication date: 2006-05-02
Also published as: US20060120527A1; KR20050076015A; CN1758591A; EP1557740A3; EP1557740A2

Abstract

블록 암호 알고리즘이 구현된 유한체 곱셈연산회로와 유한체 역원연산회로에 사용되는 유한체 곱셈기가 제공된다. 상기 곱셈기는 다음의 수학식을

를 이용하여 제1출력신호와 제2출력신호를 발생하다. 여기서 x'는 k비트로 구성된 제1마스크된 데이터를 나타내고, y'는 k비트로 구성된 제2마스크된 데이터를 나타내고, r은 k비트로 구성된 제1마스킹 데이터를 나타내고, s는 k비트로 구성된 제2마스킹 데이터를 나타내고, 점(·)은 유한체 곱셈기에 의한 곱셈연산을 나타내고,

는 배타 논리합회로에 의한 연산을 나타낸다.

AES(Advanced Encryption Standards)

Description

유한체 곱셈기{Finite field multiplier}

본 발명의 상세한 설명에서 인용되는 도면을 보다 충분히 이해하기 위하여 각 도면의 상세한 설명이 제공된다.

도 1은 유한체 GF(((2²)²)²)에서의 역원연산을 이용하여 유한체 GF(2 ⁸)에서의 역원연산을 수행하는 방법과 이를 이용하여 AES알고리즘에 사용되는 S-박스를 구현한 블락도를 나타낸다.

도 2는 유한체 GF((2²)²)의 연산을 이용하여 유한체 GF(((2²)²)²)에서의 역원연산을 수행하는 방법을 구현한 블락도를 나타낸다.

도 3은 유한체 GF(2²)의 연산을 이용하여 유한체 GF((2²)²)에서의 곱셈연산을 수행하는 방법을 구현한 블락도를 나타낸다.

도 4는 유한체 GF(2²)의 연산을 이용하여 유한체 GF((2²)²)에서의 역원연산을 수행하는 방법을 구현한 블락도를 나타낸다.

도 5는 본 발명의 제1실시예에 따른 곱셈기의 블락도를 나타낸다.

도 6은 도 5의 곱셈기의 구현 예를 나타낸다.

도 7은 본 발명의 제2실시예에 따른 곱셈기의 블락도를 나타낸다.

본 발명은 유한체 곱셈기에 관한 것으로, 보다 상세하게는 블록 암호 알고리즘이 구현된 유한체 곱셈연산회로와 유한체 역원연산회로에 사용되는 마스킹 회로,즉 유한체 곱셈기에 관한 것이다.

정보화 사회의 도래와 함께 암호 알고리즘을 이용한 정보의 보호는 그 중요성이 점점 더해가고 있다. 상기 암호 알고리즘들 중에서 블록 암호 알고리즘(Block Cipher algorithm)은 빠른 암호화/복호화 속도 그리고 짧은 키 길이 때문에 각광을 받고 있다. 따라서 상기 블록 암호 알고리즘은 그 수학적인 구조에서의 안전성뿐만 아니라 구현되는 환경에서의 안전성도 중요시된다.

차동 전력해석(Differential Power Analysis)과 단순 전력해석(Simple Power Analysis)은 블록 암호 알고리즘이 스마트 카드와 같은 저소비전력기기에 구현됐을 때 계산(또는 연산)도중에 상기 스마트 카드로부터 발생되는 전력신호를 분석함으로서 상기 스마트 카드내부에 저장된 비밀정보를 알아내는 방법이다.

차동 전력해석과 단순 전력해석이 가능한 이유는 공격자가 평문(plaintext)을 알고 있고 상기 공격자가 비밀키의 일부 정보를 추측할 수 있으면 상기 공격자는 상기 평문에 해당하는 1라운드 후의 암호문(cipertext)의 특정비트를 예측할 수 있다는 사실에 있다. 이러한 차동 전력해석과 단순 전력해석을 방지하는 방법 중의 하나는 스마트 카드내부에서 이루어지는 계산과정 중에서 공격자가 상기 평문에 대 해서 알 수 없게 만드는 것이다.

따라서 블록 암호 알고리즘의 안전한 구현을 위해 차동전력해석과 단순전력해석과 같은 전력해석에 대한 여러 가지 대책들(countermeasures)이 고안되었다. 상기 대책들을 고안해내는 방법으로 하드웨어적인 방법과 소프트웨어적인 방법이 제시되었다.

상기 하드웨어적인 방법은 잡음전력(noise power)을 생성하는 방법, 연산순서를 랜덤(random)하게 하는 방법, 그리고 전력 신호를 여과하는 방법 등이 있다. 그러나 이러한 방법들은 아직까지 불완전한 방법으로 알려져 있다.

그리고 소프트웨어적인 방법으로, 마스킹 방법은 1차적인 차동전력해석에 대한 강력한 대책중의 하나로 알려져 있다. 상기 마스킹 방법이란 스마트 카드내부에서 난수를 생성한 후, 평문과 상기 난수를 배타 논리합하여 상기 평문을 난수처럼 보이게 함으로써 전력해석을 불가능하게 하는 것을 말한다.

따라서 본 발명이 이루고자 하는 기술적인 과제는 블록 암호 알고리즘이 구현된 유한체의 곱셈연산회로와 역원연산회로에 사용되는 마스킹 회로를 제공하는 것이다.

상기 기술적 과제를 달성하기 위한 곱셈기는 다음의 수학식

를 이용하여 제1출력신호와 제2출력신호를 발생한다.

상기 기술적 과제를 달성하기 위한 곱셈기는 다음의 수학식

를 이용하여 제1출력신호와 제2출력신호를 발생한다.

또한, 상기 기술적 과제를 달성하기 위한 곱셈기는 다음의 수학식

를 이용하여 제1출력신호와 제2출력신호를 발생한다.

그리고, 상기 기술적 과제를 달성하기 위한 곱셈기는 다음의 수학식

를 이용하여 제1출력신호와 제2출력신호를 발생한다.

여기서 x'는 k비트로 구성된 제1마스크된 데이터를 나타내고, y'는 k비트로 구성된 제2마스크된 데이터를 나타내고, r은 k비트로 구성된 제1마스킹 데이터를 나타내고, s는 k비트로 구성된 제2마스킹 데이터를 나타내고, 점(·)은 유한체 곱셈연산을 나타내고,

는 배타 논리합 연산을 나타낸다. 유한체 곱셈연산은 유한체 곱셈기를 통하여 수행되고, 배타 논리합 연산은 배타 논리합 회로를 통하여 수행된다.

본 발명과 본 발명의 동작상의 이점 및 본 발명의 실시에 의하여 달성되는 목적을 충분히 이해하기 위해서는 본 발명의 바람직한 실시예를 예시하는 첨부 도면 및 첨부 도면에 기재된 내용을 참조하여야만 한다.

이하, 첨부한 도면을 참조하여 본 발명의 바람직한 실시예를 설명함으로써, 본 발명을 상세히 설명한다. 각 도면에 제시된 동일한 참조부호는 동일한 부재를 나타낸다.

마스킹 방법(masking method)이란 주어진 소정의 함수 f:{0,1}^k→{0,1}ⁿ에 대하여 다음과 같은 함수 F:{0,1}^2k→{0,1}²ⁿ을 만드는 문제(즉, 마스킹 문제)를 해결하는 것과 동일하다. 예컨대 k비트 이진 수열 x∈ {0,1}^k에 대하여 x의 부울 마스킹(boolean masking)이란

을 만족시키는 순서쌍 (x',r)∈ {0,1}^k×{0,1}^k를 의미한다. 여기서 n과 k는 각각 자연수이다.

소정의 x∈ {0,1}^k의 마스킹(x',r)에 대하여, 함수 F(x',r)은 함수 f(x)의 마스킹을 만든다. 단, 함수 F(x',r)을 계산하는 도중에, x가 명시적으로 드러내져서는 안 된다. 예컨대, f(x)가 선형 함수인 경우, 즉 소정의 a, b∈ {0,1}^k에 대하여

를 만족시키는 경우, F(x'r)=(f(x'), f(r))로 정의하면, 주어진 조건(함수 F(x',r)을 계산하는 도중에, x가 명시적으로 드러내져서는 안 된다는 조건)이 만족되므로 선형함수에 대한 마스킹 문제는 아주 쉽게 해결된다.

그리고 만약 함수 f(x)가 affine함수인 경우, 즉 어떤 n×k 행렬 A와 b∈ {0,1}ⁿ이 존재하여 모든 x ∈{0, 1}^k에 대하여

를 만족시키는 경우에도 F(x',r)=(f(x'), A·r)로 정의하면 주어진 조건이 만족되므로 affine함수에 대한 마스킹 문제도 아주 쉽게 해결된다.

당업계에 잘 알려진 바와 같이, 미국은 표준 상용 블록 알고리즘인 AES(Advanced Encryption Standards)를 사용한다. 상기 AES 알고리즘은 잘 알려진 바와 같이 여러 가지 연산들(즉, Subkey Xoring, ShiftRow, SubByte 및 MixColumn)을 사용한다. 상기 Subkey Xoring연산, 상기 ShiftRow연산, 및 상기 MixColumn연산은 선형연산 또는 affine 연산이기 때문에 마스킹 방법이 쉽게 적용된다.

그러나, SubByte연산은 비선형 연산이기 때문에 상기 마스킹 방법이 쉽게 적용되지 않는다. 특히, SubByte연산은 유한체 GF(2⁸)위에서의 역원연산과 affine 연산을 병렬적으로 사용하기 때문에, 유한체 GF(2⁸)위의 역원연산에 대하여 상기 마스킹 방법을 효율적으로 구현할 수 있다면, AES알고리즘에 대한 마스킹 방법은 효율적으로 구현될 수 있다.

따라서 본 발명은 AES알고리즘에 대한 새로운 마스킹 방법을 구현한 마스킹 회로(예컨대, 유한체 곱셈기)를 제공한다.

도 1은 AES알고리즘의 SubByte연산의 주 연산인 GF(2⁸)에서의 역원연산을 GF(((2²)²)²)에서의 역원연산을 이용하여 구현한 블락도이다. 도 1에서 σ는 GF(2⁸) 에서 GF(((2²)²)²)로 가는 동형사상(isomorphism)을 나타낸다.

도 2는 유한체 GF((2²)²)의 연산을 이용하여 유한체 GF(((2²)²)²)에서의 역원연산을 수행하는 방법을 구현한 블락도를 나타낸다. 도 1 및 도 2를 참조하면, 배타 논리합연산(

), 유한체 GF((2²)²)에서의 제곱연산(x²), 및 상수 곱셈연산(×λ)은 선형연산이기 때문에 상기 마스킹 방법이 용이하게 구현될 수 있다. 따라서 GF((2²)²)에서의 곱셈연산과 역원연산에 대하여 마스킹 방법을 구현할 수 있다면, GF(((2²)²)²)에서의 곱셈연산과 역원연산에 대한 마스킹 방법도 구현될 수 있다. 여기서 x_H는 MSB(Most significant bit)를 포함하는 4비트로 구성된 데이터를 나타내고, x_L은 LSB(Least significant bit)를 포함하는 4비트로 구성된 데이터를 나타낸다.

도 3은 유한체 GF(2²)의 연산을 이용하여 유한체 GF((2²)²)에서의 곱셈연산을 수행하는 방법을 구현한 블락도를 나타낸다. 도 4는 유한체 GF(2²)의 연산을 이용하여 유한체 GF((2²)²)에서의 역원연산을 수행하는 방법을 구현한 블락도를 나타낸다. 3은 도 2에 도시된 상수곱셈기의 상세 회로도이고, 도 4는 도 2에 도시된 역원회로 (300)의 상세 회로도이다.

도 3 및 도 4를 참조하면, 배타 논리합연산(

), 유한체 GF(2²)에서의 제곱 연산(x²), 및 상수곱셈연산(×Φ)은 선형연산이기 때문에 상기 마스킹 방법이 용이하게 구현될 수 있다. 따라서 GF(2²)에서의 곱셈연산에 대하여 마스킹 방법을 구현할 수 있다면, GF((2²)²)에서의 곱셈연산과 역원연산에 대한 마스킹 방법도 구현될 수 있다.

본 발명은 유한체의 역원연산과 곱셈연산에 대한 새로운 마스킹 방법을 구현한 마스킹 회로(예컨대, 유한체 곱셈기)에 관한 것이다. 일반적으로 유한체 GF((2ⁿ)^m)는 유한체 GF(2ⁿ)의 어떤 m(m은 자연수)차 기약다항식(irreducible polynomial) f(x)가 주어진 경우 다음과 같은 원소들과 연산들로 구성된다.

유한체 GF((2ⁿ)^m)의 임의의 원소 g는 유한체 GF(2ⁿ)에서 소정의 계수를 구비하는 (m-1)차 이하의 다항식으로 유일하게 표현된다. 즉, a₀,...a_m-1 ∈ GF(2 ⁿ)이 유일하게 존재하여 g=a₀+ a₁x +...+a_m-1x^(m-1)로 표현된다.

g₁= a₀+ a₁x+...+a_m-1x^(m-1), g₂= b₀+ b₁x +... +b_m-1x^(m-1)에 대하여 GF((2ⁿ)^m)위에서의 덧셈과 곱셈은 다음과 같이 정의된다.

여기서 mod는 모듈러 연산(modular operation)을 나타낸다. 상기와 같은 유 한체 GF((2ⁿ)^m)를

로 표시한다.

따라서 본 발명은 다음과 같은 유한체를 사용한다.

여기서 φ=10₂∈ GF(2²), λ=1100₂∈ GF((2²)²)이다.

도 5는 본 발명의 제1실시예에 따른 곱셈기의 블락도를 나타낸다. 도 5는 GF(2²)에서의 곱셈연산에 대한 마스킹 방법을 구현한 곱셈기(도 3과 도 4의 400)의 블락도를 나타낸다.

GF((2²)²)의 곱셈연산회로와 GF((2²)²)의 역원연산회로에 사용되는 본 발명에 따른 곱셈기를 이용하면, GF(((2²)²)²)에서의 역원연산에 대한 마스킹 방법이 구현될 수 있다. 따라서 AES알고리즘의 SubByte 연산에 대한 마스킹 방법이 구현 될 수 있으므로, AES알고리즘에 대한 마스킹 방법도 구현된다.

도 5는 유한체 GF(2^k)위의 곱셈연산에 대한 마스킹 방법을 구현한 것이다. 여기서, 유한체 GF(2^k)위의 곱셈연산에 대한 마스킹 방법이란 x, y ∈ GF(2^k)의 마스킹(x',r),(y',s)가 주어졌을 때 xy의 마스킹을 구하는 것이다. 도 5는 유한체 GF(2^k)위의 곱셈연산에 대한 마스킹 방법을 구현한 곱셈기(400)의 일 예에 불과하 다.

따라서 유한체 GF(2^k)위의 곱셈연산에 대한 마스킹 방법을 구현하는 함수들(F((x',r),(y',s)))은 다음과 같다. 여기서 x'와 y'는 k(k는 자연수)비트로 구성된 마스크된 데이터(masked data)를 나타내고, r과 s는 k비트로 구성된 마스킹을 위한 마스킹 데이터(masking data)를 나타낸다. 점(·)은 유한체의 곱셈 연산을 나타낸다. 또한,

는 배타 논리합 연산을 나타낸다.

1.

2.

3.

4.

5.

6.

7.

8.

9.

10.

11.

12.

13.

14.

15.

16.

17.

18.

19.

20.

21.

22.

23.

24.

25.

26.

27.

28.

29.

30.

즉, 도 5는 함수

를 구현한 것이다. 도 5를 참조하면, 유한체 곱셈기(501)는 x'와 y'를 수신하여 곱셈 연산을 수행하고, 유한체 곱셈기(503)는 x'와 s를 수신하여 곱셈 연산을 수행하고, 유한체 곱셈기(505)는 y'와 r을 수신하여 곱셈연산을 수행하고, 유한체 곱셈기(507)는 r과 s를 수신하여 곱셈연산을 수행한다.

배타 논리합 게이트(509)는 유한체 곱셈기(501)의 출력신호와 유한체 곱셈기(503)의 출력신호를 비트단위로 배타 논리합하고, 배타 논리합 게이트(511)는 유한체 곱셈기(505)의 출력신호와 유한체 곱셈기(507)의 출력신호를 비트단위로 배타 논리합한다. 배타 논리합 게이트(513)는 y'와 배타 논리합 게이트(509)의 출력신호를 비트단위로 배타 논리합하고, 배타 논리합 게이트(515)는 y'와 배타 논리합 게이트(511)의 출력신호를 비트단위로 배타 논리합한다.

도 6은 도 5의 곱셈기의 구현 예를 나타낸다. 도 6은 k=1인 경우의 함수,

를 구현한 것이다. 도 5 및 도 6을 참조하면, 각 유한체 곱셈기(501 내지 507)는 논리곱 게이트로 구현될 수 있다.

도 7은 본 발명의 제2실시예에 따른 곱셈기의 블락도를 나타낸다. 도 7은 함수,

를 구현한 것이다. 도 7을 참조하면, 유한체 곱셈기(701)는 x'와 y'를 수신하여 곱셈연산을 수행하고, 유한체 곱셈기(703)는 y'와 r을 수신하여 곱셈연산을 수행하고, 유한체 곱셈기(705)는 r과 s를 수신하여 곱셈연산을 수행하고, 유한체 곱셈기(707)는 x'과 s를 수신하여 곱셈연산을 수행한다.

배타 논리합 게이트(709)는 유한체 곱셈기(701)의 출력신호와 유한체 곱셈기(707)의 출력신호를 비트단위로 배타 논리합하고, 배타 논리합 게이트(711)는 유한체 곱셈기(703)의 출력신호와 유한체 곱셈기(705)의 출력신호를 비트단위로 배타 논리합한다. 배타 논리합 게이트(713)는 s와 배타 논리합 게이트(709)의 출력신호를 비트단위로 배타 논리합하고, 배타 논리합 게이트(715)는 s와 배타 논리합 게이트(711)의 출력신호를 비트단위로 배타 논리합한다.

당업자는 각 함수(F2((x',r),(y',s)) 내지 F30((x',r),(y',s)))의 구현 예를 용이하게 이해할 수 있을 것이다. 따라서 이들에 대한 설명은 생략한다.

본 발명은 도면에 도시된 일 실시 예를 참고로 설명되었으나 이는 예시적인 것에 불과하며, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호 범위는 첨부된 등록청구범위의 기술적 사상에 의해 정해져야 할 것이다.

상술한 바와 같이 본 발명에 따른 마스킹 방법을 구현한 유한체 곱셈연산회로와 유한체 역원연산회로에 사용되는 곱셈기는 AES와 같이 유한체 연산을 내부 연산으로 사용하는 알고리즘에 대하여 단순 전력 해석에 대한 강력한 대책을 제공하 는 효과가 있다.

또한, 본 발명에 따른 곱셈기는 블록 암호 알고리즘에 대하여 차동전략 해석에 대한 강력한 대책을 제공하는 효과가 있다. 따라서 상기 블록 암호 알고리즘은 스마트 카드와 같은 저소비전력기기에 안전하게 구현될 수 있는 효과가 있다.

Claims

곱셈기에 있어서,

제1마스크된 데이터와 제2마스크된 데이터를 수신하고, 이들을 유한체 곱셈하는 제1유한체 곱셈기;

상기 제1마스크된 데이터와 제2마스킹 데이터를 수신하고, 이들을 유한체 곱셈하는 제2유한체 곱셈기;

상기 제2마스크된 데이터와 제1마스킹 데이터를 수신하고, 이들을 유한체 곱셈하는 제3유한체 곱셈기;

상기 제1마스킹 데이터와 상기 제2마스킹 데이터를 수신하고, 이들을 유한체 곱셈하는 제4유한체 곱셈기;

상기 제1유한체 곱셈기의 출력신호와 상기 제2유한체 곱셈기의 출력신호를 수신하고, 이들을 배타 논리합하는 제1배타 논리합 회로;

상기 제2마스크된 데이터와 상기 제1배타 논리합 회로의 출력신호를 수신하고, 이들을 배타 논리합하는 제2배타 논리합 회로;

상기 제3유한체 곱셈기의 출력신호와 상기 제4유한체 곱셈기의 출력신호를 수신하고, 이들을 배타 논리합하는 제3배타 논리합 회로; 및

상기 제2마스크된 데이터와 상기 제3배타 논리합 회로의 출력신호를 수신하고, 이들을 배타 논리합하는 제4배타 논리합 회로를 구비하는 것을 특징으로 하는 곱셈기.
곱셈기에 있어서,

제1마스크된 데이터와 제2마스크된 데이터를 수신하고, 이들을 유한체 곱셈하는 제1유한체 곱셈기;

상기 제1마스크된 데이터와 제2마스킹 데이터를 수신하고, 이들을 유한체 곱셈하는 제2유한체 곱셈기;

상기 제2마스크된 데이터와 제1마스킹 데이터를 수신하고, 이들을 유한체 곱셈하는 제3유한체 곱셈기;

상기 제1마스킹 데이터와 상기 제2마스킹 데이터를 수신하고, 이들을 유한체 곱셈하는 제4유한체 곱셈기;

상기 제1유한체 곱셈기의 출력신호와 상기 제2유한체 곱셈기의 출력신호를 수신하고, 이들을 배타 논리합하는 제1배타 논리합 회로;

상기 제2마스킹 데이터와 상기 제1배타 논리합 회로의 출력신호를 수신하고, 이들을 배타 논리합하는 제2배타 논리합 회로;

상기 제3유한체 곱셈기의 출력신호와 상기 제4유한체 곱셈기의 출력신호를 수신하고, 이들을 배타 논리합하는 제3배타 논리합 회로; 및

상기 제2마스킹 데이터와 상기 제3배타 논리합 회로의 출력신호를 수신하고, 이들을 배타 논리합하는 제4배타 논리합 회로를 구비하는 것을 특징으로 하는 곱셈기.
곱셈기에 있어서,

제1마스크된 데이터와 제2마스크된 데이터를 수신하고, 이들을 유한체 곱셈하는 제1유한체 곱셈기;

상기 제2마스크된 데이터와 제1마스킹 데이터를 수신하고, 이들을 유한체 곱셈하는 제2유한체 곱셈기;

상기 제1마스크된 데이터와 제2마스킹 데이터를 수신하고, 이들을 유한체 곱셈하는 제3유한체 곱셈기;

상기 제1마스킹 데이터와 상기 제2마스킹 데이터를 수신하고, 이들을 유한체 곱셈하는 제4유한체 곱셈기;

상기 제1유한체 곱셈기의 출력신호와 상기 제2유한체 곱셈기의 출력신호를 수신하고, 이들을 배타 논리합하는 제1배타 논리합 회로;

상기 제1마스크된 데이터와 상기 제1배타 논리합 회로의 출력신호를 수신하고, 이들을 배타 논리합하는 제2배타 논리합 회로;

상기 제3유한체 곱셈기의 출력신호와 상기 제4유한체 곱셈기의 출력신호를 수신하고, 이들을 배타 논리합하는 제3배타 논리합 회로; 및

상기 제1마스크된 데이터와 상기 제3배타 논리합 회로의 출력신호를 수신하 고, 이들을 배타 논리합하는 제4배타 논리합 회로를 구비하는 것을 특징으로 하는 곱셈기.
곱셈기에 있어서,

제1마스크된 데이터와 제2마스크된 데이터를 수신하고, 이들을 유한체 곱셈하는 제1유한체 곱셈기;

상기 제2마스크된 데이터와 제1마스킹 데이터를 수신하고, 이들을 유한체 곱셈하는 제2유한체 곱셈기;

상기 제1마스크된 데이터와 제2마스킹 데이터를 수신하고, 이들을 유한체 곱셈하는 제3유한체 곱셈기;

상기 제1마스킹 데이터와 상기 제2마스킹 데이터를 수신하고, 이들을 유한체 곱셈하는 제4유한체 곱셈기;

상기 제1유한체 곱셈기의 출력신호와 상기 제2유한체 곱셈기의 출력신호를 수신하고, 이들을 배타 논리합하는 제1배타 논리합 회로;

상기 제1마스킹 데이터와 상기 제1배타 논리합 회로의 출력신호를 수신하고, 이들을 배타 논리합하는 제2배타 논리합 회로;

상기 제3유한체 곱셈기의 출력신호와 상기 제4유한체 곱셈기의 출력신호를 수신하고, 이들을 배타 논리합하는 제3배타 논리합 회로; 및

상기 제1마스킹 데이터와 상기 제3배타 논리합 회로의 출력신호를 수신하고, 이들을 배타 논리합하는 제4배타 논리합 회로를 구비하는 것을 특징으로 하는 곱셈 기.
곱셈기에 있어서,

제1마스크된 데이터와 제2마스크된 데이터를 수신하고, 이들을 유한체 곱셈하는 제1유한체 곱셈기;

상기 제2마스크된 데이터와 제1마스킹 데이터를 수신하고, 이들을 유한체 곱셈하는 제2유한체 곱셈기;

상기 제1마스크된 데이터와 제2마스킹 데이터를 수신하고, 이들을 유한체 곱셈하는 제3유한체 곱셈기;

상기 제1마스킹 데이터와 상기 제2마스킹 데이터를 수신하고, 이들을 유한체 곱셈하는 제4유한체 곱셈기;

상기 제1유한체 곱셈기의 출력신호와 상기 제2유한체 곱셈기의 출력신호를 수신하고, 이들을 배타 논리합하는 제1배타 논리합 회로;

상기 제1배타 논리합 회로의 출력신호와 상기 제3유한체 곱셈기의 출력신호를 수신하고, 이들을 배타 논리합하는 제2배타 논리합 회로;

상기 제2배타 논리합 회로의 출력신호와 상기 제4유한체 곱셈기의 출력신호를 수신하고, 이들을 배타 논리합하는 제3배타 논리합 회로; 및

상기 제1마스크된 데이터와 상기 제3배타 논리합 회로의 출력신호를 수신하고, 이들을 배타 논리합하고, 그 결과를 상기 곱셈기의 제1출력신호로서 출력하는 제4배타 논리합 회로를 구비하고,

상기 곱셈기는 상기 제1마스크된 데이터를 제2출력신호로서 출력하는 것을 특징으로 하는 곱셈기.
곱셈기에 있어서,

제1마스크된 데이터와 제2마스크된 데이터를 수신하고, 이들을 유한체 곱셈하는 제1유한체 곱셈기;

상기 제2마스크된 데이터와 제1마스킹 데이터를 수신하고, 이들을 유한체 곱셈하는 제2유한체 곱셈기;

상기 제1마스크된 데이터와 제2마스킹 데이터를 수신하고, 이들을 유한체 곱셈하는 제3유한체 곱셈기;

상기 제1마스킹 데이터와 상기 제2마스킹 데이터를 수신하고, 이들을 유한체 곱셈하는 제4유한체 곱셈기;

상기 제1유한체 곱셈기의 출력신호와 상기 제2유한체 곱셈기의 출력신호를 수신하고, 이들을 배타 논리합하는 제1배타 논리합 회로;

상기 제1배타 논리합 회로의 출력신호와 상기 제3유한체 곱셈기의 출력신호를 수신하고, 이들을 배타 논리합하는 제2배타 논리합 회로;

상기 제2배타 논리합 회로의 출력신호와 상기 제4유한체 곱셈기의 출력신호를 수신하고, 이들을 배타 논리합하는 제3배타 논리합 회로; 및

상기 제2마스크된 데이터와 상기 제3배타 논리합 회로의 출력신호를 수신하고 이들을 배타 논리합하고, 그 결과를 상기 곱셈기의 제1출력신호로서 출력하는 제4배타 논리합 회로를 구비하고,

상기 곱셈기는 상기 제2마스크된 데이터를 제2출력신호로서 출력하는 것을 특징으로 하는 곱셈기.
곱셈기에 있어서,

제1마스크된 데이터와 제2마스크된 데이터를 수신하고, 이들을 유한체 곱셈하는 제1유한체 곱셈기;

상기 제2마스크된 데이터와 제1마스킹 데이터를 수신하고, 이들을 유한체 곱셈하는 제2유한체 곱셈기;

상기 제1마스크된 데이터와 제2마스킹 데이터를 수신하고, 이들을 유한체 곱셈하는 제3유한체 곱셈기;

상기 제1마스킹 데이터와 상기 제2마스킹 데이터를 수신하고, 이들을 유한체 곱셈하는 제4유한체 곱셈기;

상기 제1유한체 곱셈기의 출력신호와 상기 제2유한체 곱셈기의 출력신호를 수신하고, 이들을 배타 논리합하는 제1배타 논리합 회로;

상기 제1배타 논리합 회로의 출력신호와 상기 제3유한체 곱셈기의 출력신호를 수신하고, 이들을 배타 논리합하는 제2배타 논리합 회로;

상기 제2배타 논리합 회로의 출력신호와 상기 제4유한체 곱셈기의 출력신호를 수신하고, 이들을 배타 논리합하는 제3배타 논리합 회로; 및

상기 제1마스킹 데이터와 상기 제3배타 논리합 회로의 출력신호를 수신하고 이들을 배타 논리합하고, 그 결과를 상기 곱셈기의 제1출력신호로서 출력하는 제4배타 논리합 회로를 구비하고,

상기 곱셈기는 상기 제1마스킹 데이터를 제2출력신호로서 출력하는 것을 특징으로 하는 곱셈기.
곱셈기에 있어서,

제1마스크된 데이터와 제2마스크된 데이터를 수신하고, 이들을 유한체 곱셈하는 제1유한체 곱셈기;

상기 제2마스크된 데이터와 제1마스킹 데이터를 수신하고, 이들을 유한체 곱셈하는 제2유한체 곱셈기;

상기 제1마스크된 데이터와 제2마스킹 데이터를 수신하고, 이들을 유한체 곱셈하는 제3유한체 곱셈기;

상기 제1마스킹 데이터와 상기 제2마스킹 데이터를 수신하고, 이들을 유한체 곱셈하는 제4유한체 곱셈기;

상기 제1유한체 곱셈기의 출력신호와 상기 제2유한체 곱셈기의 출력신호를 수신하고, 이들을 배타 논리합하는 제1배타 논리합 회로;

상기 제1배타 논리합 회로의 출력신호와 상기 제3유한체 곱셈기의 출력신호를 수신하고, 이들을 배타 논리합하는 제2배타 논리합 회로;

상기 제2배타 논리합 회로의 출력신호와 상기 제4유한체 곱셈기의 출력신호를 수신하고, 이들을 배타 논리합하는 제3배타 논리합 회로; 및

상기 제2마스킹 데이터와 상기 제3배타 논리합 회로의 출력신호를 수신하고 이들을 배타 논리합하고, 그 결과를 상기 곱셈기의 제1출력신호로서 출력하는 제4배타 논리합 회로를 구비하고,

상기 곱셈기는 상기 제2마스킹 데이터를 제2출력신호로서 출력하는 것을 특징으로 하는 곱셈기.
곱셈기에 있어서,

상기 곱셈기는 다음의 수학식;

를 이용하여 제1출력신호와 제2출력신호를 발생하는 것을 특징으로 하는 곱셈기:

여기서 x'는 k비트로 구성된 제1마스크된 데이터를 나타내고, y'는 k비트로 구성된 제2마스크된 데이터를 나타내고, r은 k비트로 구성된 제1마스킹 데이터를 나타내고, s는 k비트로 구성된 제2마스킹 데이터를 나타내고, 점(·)는 유한체 곱셈연산을 나타내고,
는 배타 논리합 연산을 나타낸다.
곱셈기에 있어서,

상기 곱셈기는 다음의 수학식;

를 이용하여 제1출력신호와 제2출력신호를 발생하는 것을 특징으로 하는 곱셈기:

여기서 x'는 k비트로 구성된 제1마스크된 데이터를 나타내고, y'는 k비트로 구성된 제2마스크된 데이터를 나타내고, r은 k비트로 구성된 제1마스킹 데이터를 나타내고, s는 k비트로 구성된 제2마스킹 데이터를 나타내고, ·는 유한체 곱셈연산을 나타내고,
는 배타 논리합 연산을 나타낸다.
곱셈기에 있어서,

상기 곱셈기는 다음의 수학식;

를 이용하여 제1출력신호와 제2출력신호를 발생하는 것을 특징으로 하는 곱셈기:

여기서 x'는 k비트로 구성된 제1마스크된 데이터를 나타내고, y'는 k비트로 구성된 제2마스크된 데이터를 나타내고, r은 k비트로 구성된 제1마스킹 데이터를 나타내고, s는 k비트로 구성된 제2마스킹 데이터를 나타내고, ·는 유한체 곱셈연산을 나타내고,
는 배타 논리합 연산을 나타낸다.
곱셈기에 있어서,

상기 곱셈기는 다음의 수학식;

를 이용하여 제1출력신호와 제2출력신호를 발생하는 것을 특징으로 하는 곱셈기:

여기서 x'는 k비트로 구성된 제1마스크된 데이터를 나타내고, y'는 k비트로 구성된 제2마스크된 데이터를 나타내고, r은 k비트로 구성된 제1마스킹 데이터를 나타내고, s는 k비트로 구성된 제2마스킹 데이터를 나타내고, ·는 유한체 곱셈연산을 나타내고,
는 배타 논리합 연산을 나타낸다.
곱셈기에 있어서,

상기 곱셈기는 다음의 수학식;

를 이용하여 제1출력신호와 제2출력신호를 발생하는 것을 특징으로 하는 곱셈기:

여기서 x'는 k비트로 구성된 제1마스크된 데이터를 나타내고, y'는 k비트로 구성된 제2마스크된 데이터를 나타내고, r은 k비트로 구성된 제1마스킹 데이터를 나타내고, s는 k비트로 구성된 제2마스킹 데이터를 나타내고, ·는 유한체 곱셈연산을 나타내고,
는 논리합 연산을 나타낸다.
곱셈기에 있어서,

상기 곱셈기는 다음의 수학식;

를 이용하여 제1출력신호와 제2출력신호를 발생하는 것을 특징으로 하는 곱셈기:

여기서 x'는 k비트로 구성된 제1마스크된 데이터를 나타내고, y'는 k비트로 구성된 제2마스크된 데이터를 나타내고, r은 k비트로 구성된 제1마스킹 데이터를 나타내고, s는 k비트로 구성된 제2마스킹 데이터를 나타내고, ·는 유한체 곱셈연 산을 나타내고,
는 배타 논리합 연산을 나타낸다.
곱셈기에 있어서,

상기 곱셈기는 다음의 수학식;

를 이용하여 제1출력신호와 제2출력신호를 발생하는 것을 특징으로 하는 곱셈기:

여기서 x'는 k비트로 구성된 제1마스크된 데이터를 나타내고, y'는 k비트로 구성된 제2마스크된 데이터를 나타내고, r은 k비트로 구성된 제1마스킹 데이터를 나타내고, s는 k비트로 구성된 제2마스킹 데이터를 나타내고, ·는 유한체 곱셈연산을 나타내고,
는 배타 논리합 연산을 나타낸다.
곱셈기에 있어서,

상기 곱셈기는 다음의 수학식;

를 이용하여 제1출력신호와 제2출력신호를 발생하는 것을 특징으로 하는 곱셈기:

여기서 x'는 k비트로 구성된 제1마스크된 데이터를 나타내고, y'는 k비트로 구성된 제2마스크된 데이터를 나타내고, r은 k비트로 구성된 제1마스킹 데이터를 나타내고, s는 k비트로 구성된 제2마스킹 데이터를 나타내고, ·는 유한체 곱셈연산을 나타내고,
는 배타 논리합 연산을 나타낸다.
곱셈기에 있어서,

상기 곱셈기는 다음의 수학식;

를 이용하여 제1출력신호와 제2출력신호를 발생하는 것을 특징으로 하는 곱셈기:

여기서 x'는 k비트로 구성된 제1마스크된 데이터를 나타내고, y'는 k비트로 구성된 제2마스크된 데이터를 나타내고, r은 k비트로 구성된 제1마스킹 데이터를 나타내고, s는 k비트로 구성된 제2마스킹 데이터를 나타내고, ·는 유한체 곱셈연산을 나타내고,
는 배타 논리합 연산을 나타낸다.
곱셈기에 있어서,

상기 곱셈기는 다음의 수학식;

를 이용하여 제1출력신호와 제2출력신호를 발생하는 것을 특징으로 하는 곱셈기:

여기서 x'는 k비트로 구성된 제1마스크된 데이터를 나타내고, y'는 k비트로 구성된 제2마스크된 데이터를 나타내고, r은 k비트로 구성된 제1마스킹 데이터를 나타내고, s는 k비트로 구성된 제2마스킹 데이터를 나타내고, ·는 유한체 곱셈연산을 나타내고,
는 배타 논리합 연산을 나타낸다.
곱셈기에 있어서,

상기 곱셈기는 다음의 수학식;

를 이용하여 제1출력신호와 제2출력신호를 발생하는 것을 특징으로 하는 곱셈기:

여기서 x'는 k비트로 구성된 제1마스크된 데이터를 나타내고, y'는 k비트로 구성된 제2마스크된 데이터를 나타내고, r은 k비트로 구성된 제1마스킹 데이터를 나타내고, s는 k비트로 구성된 제2마스킹 데이터를 나타내고, ·는 유한체 곱셈연산을 나타내고,
는 배타 논리합 연산을 나타낸다.
곱셈기에 있어서,

상기 곱셈기는 다음의 수학식;

를 이용하여 제1출력신호와 제2출력신호를 발생하는 것을 특징으로 하는 곱셈기:

여기서 x'는 k비트로 구성된 제1마스크된 데이터를 나타내고, y'는 k비트로 구성된 제2마스크된 데이터를 나타내고, r은 k비트로 구성된 제1마스킹 데이터를 나타내고, s는 k비트로 구성된 제2마스킹 데이터를 나타내고, ·는 유한체 곱셈연산을 나타내고,
는 배타 논리합 연산을 나타낸다.
곱셈기에 있어서,

상기 곱셈기는 다음의 수학식;

를 이용하여 제1출력신호와 제2출력신호를 발생하는 것을 특징으로 하는 곱셈기:

여기서 x'는 k비트로 구성된 제1마스크된 데이터를 나타내고, y'는 k비트로 구성된 제2마스크된 데이터를 나타내고, r은 k비트로 구성된 제1마스킹 데이터를 나타내고, s는 k비트로 구성된 제2마스킹 데이터를 나타내고, ·는 유한체 곱셈연산을 나타내고,
는 배타 논리합 연산을 나타낸다.
곱셈기에 있어서,

상기 곱셈기는 다음의 수학식;

를 이용하여 제1출력신호와 제2출력신호를 발생하는 것을 특징으로 하는 곱셈기:

여기서 x'는 k비트로 구성된 제1마스크된 데이터를 나타내고, y'는 k비트로 구성된 제2마스크된 데이터를 나타내고, r은 k비트로 구성된 제1마스킹 데이터를 나타내고, s는 k비트로 구성된 제2마스킹 데이터를 나타내고, ·는 유한체 곱셈연산을 나타내고,
는 배타 논리합 연산을 나타낸다.
곱셈기에 있어서,

상기 곱셈기는 다음의 수학식;

를 이용하여 제1출력신호와 제2출력신호를 발생하는 것을 특징으로 하는 곱셈기:

여기서 x'는 k비트로 구성된 제1마스크된 데이터를 나타내고, y'는 k비트로 구성된 제2마스크된 데이터를 나타내고, r은 k비트로 구성된 제1마스킹 데이터를 나타내고, s는 k비트로 구성된 제2마스킹 데이터를 나타내고, ·는 유한체 곱셈연산을 나타내고,
는 배타 논리합 연산을 나타낸다.
곱셈기에 있어서,

상기 곱셈기는 다음의 수학식;

를 이용하여 제1출력신호와 제2출력신호를 발생하는 것을 특징으로 하는 곱셈기:

여기서 x'는 k비트로 구성된 제1마스크된 데이터를 나타내고, y'는 k비트로 구성된 제2마스크된 데이터를 나타내고, r은 k비트로 구성된 제1마스킹 데이터를 나타내고, s는 k비트로 구성된 제2마스킹 데이터를 나타내고, ·는 유한체 곱셈연산을 나타내고,
는 배타 논리합 연산을 나타낸다.
곱셈기에 있어서,

상기 곱셈기는 다음의 수학식;

를 이용하여 제1출력신호 와 제2출력신호를 발생하는 것을 특징으로 하는 곱셈기:

여기서 x'는 k비트로 구성된 제1마스크된 데이터를 나타내고, y'는 k비트로 구성된 제2마스크된 데이터를 나타내고, r은 k비트로 구성된 제1마스킹 데이터를 나타내고, s는 k비트로 구성된 제2마스킹 데이터를 나타내고, ·는 유한체 곱셈연산을 나타내고,
는 배타 논리합 연산을 나타낸다.
곱셈기에 있어서,

상기 곱셈기는 다음의 수학식;

를 이용하여 제1출력신호와 제2출력신호를 발생하는 것을 특징으로 하는 곱셈기:

여기서 x'는 k비트로 구성된 제1마스크된 데이터를 나타내고, y'는 k비트로 구성된 제2마스크된 데이터를 나타내고, r은 k비트로 구성된 제1마스킹 데이터를 나타내고, s는 k비트로 구성된 제2마스킹 데이터를 나타내고, ·는 유한체 곱셈연산을 나타내고,
는 배타 논리합 연산을 나타낸다.
곱셈기에 있어서,

상기 곱셈기는 다음의 수학식;

를 이용하여 제1출력신호와 제2출력신호를 발생하는 것을 특징으로 하는 곱셈기:

여기서 x'는 k비트로 구성된 제1마스크된 데이터를 나타내고, y'는 k비트로 구성된 제2마스크된 데이터를 나타내고, r은 k비트로 구성된 제1마스킹 데이터를 나타내고, s는 k비트로 구성된 제2마스킹 데이터를 나타내고, ·는 유한체 곱셈연산을 나타내고,
는 배타 논리합 연산을 나타낸다.
곱셈기에 있어서,

상기 곱셈기는 다음의 수학식;

를 이용하여 제1출력신호와 제2출력신호를 발생하는 것을 특징으로 하는 곱셈기:

여기서 x'는 k비트로 구성된 제1마스크된 데이터를 나타내고, y'는 k비트로 구성된 제2마스크된 데이터를 나타내고, r은 k비트로 구성된 제1마스킹 데이터를 나타내고, s는 k비트로 구성된 제2마스킹 데이터를 나타내고, ·는 유한체 곱셈연산을 나타내고,
는 배타 논리합 연산을 나타낸다.
곱셈기에 있어서,

상기 곱셈기는 다음의 수학식;

를 이용하여 제1출력신호와 제2출력신호를 발생하는 것을 특징으로 하는 곱셈기:

여기서 x'는 k비트로 구성된 제1마스크된 데이터를 나타내고, y'는 k비트로 구성된 제2마스크된 데이터를 나타내고, r은 k비트로 구성된 제1마스킹 데이터를 나타내고, s는 k비트로 구성된 제2마스킹 데이터를 나타내고, ·는 유한체 곱셈연산을 나타내고,
는 배타 논리합 연산을 나타낸다.
곱셈기에 있어서,

상기 곱셈기는 다음의 수학식;

를 이용하여 제1출력신호와 제2출력신호를 발생하는 것을 특징으로 하는 곱셈기:

여기서 x'는 k비트로 구성된 제1마스크된 데이터를 나타내고, y'는 k비트로 구성된 제2마스크된 데이터를 나타내고, r은 k비트로 구성된 제1마스킹 데이터를 나타내고, s는 k비트로 구성된 제2마스킹 데이터를 나타내고, ·는 유한체 곱셈연산을 나타내고,
는 배타 논리합 연산을 나타낸다.