KR100757353B1

KR100757353B1 - 데이터 저장매체, 이를 위한 비밀 데이터 보호 방법 및 암호화된 메세지 형성 방법

Info

Publication number: KR100757353B1
Application number: KR1020027008264A
Authority: KR
Inventors: 드렉셀러헤르만; 파터하랄트
Original assignee: 기세크운트데프린트게엠베하
Priority date: 1999-12-28
Filing date: 2000-12-20
Publication date: 2007-09-11
Also published as: RU2002120476A; JP2003518872A; CN1415147A; ZA200204747B; EP1262037A1; WO2001048974A1; DE50014986D1; US7447913B2; ATE387047T1; JP4841785B2; KR20020091065A; US20030061498A1; DE19963408A1; EP1262037B1; CN1211977C; ES2296670T3; AU2675401A; HK1051755A1; RU2251218C2

Abstract

본 발명은 여러 명령어를 갖는 연산 프로그램이 저장된 적어도 하나의 메모리를 갖는 반도체 칩을 가지고, 각 명령어는 반도체 칩의 외부에서 탐지될 수 있는 신호를 발생시키는 데이터 저장 매체에 관한 것이다.

본 발명에 따르면, 데이터 저장 매체는, 임의값의 계산과 임의값을 나누기 위한 연산 장치를 포함하고, 보안 관련 또는 안전 관련 연산을 수행하기 위하여 반도체 칩내에 저장되어 있거나 이러한 반도체 칩에 의하여 발생되는 비밀 데이터를, 첫째 데이터 부분은 나눗셈 과정의 정수 결과이고, 둘째 데이터 부분은 나눗셈 과정의 나머지이며, 셋째 데이터 부분은 임의값 그 자체인, 적어도 세개의 데이터 부분으로 분리시키기 위하여 디자인된다.

데이터 저장 매체

Description

데이터 저장매체, 이를 위한 비밀 데이터 보호 방법 및 암호화된 메세지 형성 방법{Portable data carrier provided with access protection by dividing up codes}

본 발명은 비밀 데이터가 저장되고 처리되는 반도체 칩을 가지는 데이터 저장매체, 이를 위한 비밀 데이터 보호 방법 및 암호화된 메세지 형성 방법에 관한 것이다.

칩이 들어 있는 데이터 저장매체는 수많은 분야에 사용되고 있다. 예를 들면, 상품과 서비스에 대한 지불과 같은 금융거래를 수행하기 위해서나, 억세스 체크를 제어하기 위한 확인 수단으로 사용된다. 이러한 모든 적용에 있어서, 허락받지 않은 제3자에 의한 억세스로부터 보호되어야 하는 비밀 데이터는 일반적으로 데이터 저장매체의 칩내에 처리되어 있다. 이러한 데이터의 보호는, 특히 칩의 내부 구조가 매우 작은 구역들로 되어 있기 때문에, 이러한 구조에 처리되어 있는 데이터를 빼가려는 목적으로 이러한 구조에 억세스한다는 것은 매우 어렵다는 사실에 의하여 보장 가능하다. 이러한 억세스를 더욱 어렵게 하기 위해서, 칩은 매우 안전하게 부착된 복합물에 묻혀지는데, 이때 이러한 복합물을 강제로 제거하면 반도체 웨이퍼가 파괴되거나, 또는 적어도 그것에 저장된 비밀 데이터가 지워지게 된다. 또한 제조시 반도체 웨이퍼를 파괴하지 않고서는 제거될 수 없는 보호층을 반도체 웨이퍼에 형성하여 놓는 것도 가능하다.

그럼에도 불구하고, 매우 비싸긴 하지만 이론적으로 사용가능한 적절한 기술적 장치에 의해 침입자는 칩의 내부 구조를 노출시키고 그를 조사할 수도 있다. 칩의 내부 구조는, 예를 들면, 특별한 에칭 방법이나 적당한 분쇄 작업에 의해서 노출될 수 있다. 이러한 방법으로 노출되는 인터컨넥트(interconnects)와 같은 칩의 구조는, 마이크로프로브를 사용하여 접촉될 수 있고 또는, 이러한 구조에서 신호의 파형을 결정하기 위하여 다른 방법을 사용하여 조사될 수도 있다. 이들 신호 파형을 조작 목적으로 사용하기 위하여, 데이터 저장매체로부터 비밀 키와 같은 비밀 데이터를 결정하도록 탐지된 신호를 사용하는 시도가 가능할 수 있다. 마찬가지로 마이크로 프로브를 통해 노출된 구조에 신호 파형에 고의적으로 영향을 미치도록하는 시도도 가능할 수 있다.

나아가, 최근에는 유동 소비(current consumption)를 측정하거나 암호화 과정의 시간을 측정함으로써, 특히 비밀 키와 같은 비밀 데이터를 추론해 내는 방법이 알려졌다. (Paul C. Kocher, "Timing Attacks on implementation of Diffie-Hellman, RSA, DSS, and other Systems", Springer Verlag 1998; WO 99/35782)

이러한 형태의 한가지 단순한 침입은 단순파워분석("Simple Power Analysis"(SPA)) 이다. 이 SPA 분석 방법에서, 예를 들면, 공지된 메세지 M 은 비밀 키 d 를 사용하여 암호화되는데, 다시말해 암호화된 텍스트 Y = M^dmod n 가 생성된다고 말할 수 있다. 모듈러 지수화 과정에서, 지수 d 에 "1"이 있다면 제곱 과정은 중간 결과에 의하여 수행되고 곱셈 과정은 M 에 의하여 수행되며, d 에 "0"이 있다면 단지 제곱 과정만 중간 결과에 의하여 수행된다. 만일 M 이 알려져 있다면, 메세지 M 은 사용되는 시간은 유동 응답 및/또는 연산되는 시간을 관찰함으로써 확인될 수 있다. 만일 "1"이 d 안에 있다면 이러한 메세지는 항상 사용되기 때문에, 비밀 키는 아무런 문제없이 추론될 수 있다.

이러한 침입은 메세지 M 또는 비밀 키 d 에 변화를 제공함으로써 쉽게 대항할 수 있다. 그러나, 이 또한 논문 "Timing Attacks on implementation of Diffie-Hellman, RSA, DSS, and other Systems (Paul C. Kocher, Springer Verlag, 1998)" 와 국제 특허 출원 WO 99/35782로부터 알 수 있듯이, 만일 메세지나 비밀 키가 변형, 즉 스크램블(scramble)되더라도 집적 회로의 유동 응답이 측정된 수많은 측정 곡선을 기록함으로써 비밀 키는 추론될 수 있다 (참조 논문 : "Differential Power Analysis" (DPA) or Higher Order DPA).

비밀 키 d가 직접 사용되지 않은, 소위 "익스포넌트 블라인딩(Exponent Blinding)"이 보안 측정으로 제안된 바 있다.

첫째로, 비밀 키 d 대신에 d+r*Φ가 암호화 과정에 사용될 수 있고, 이 때 r은 임의값이고 Φ는 오일러 PHI 함수이다. 특별히, RSA 알고리즘에 대하여 n = p*q이고, p와 q는 소수(prime number)이고 따라서 Φ= (p-1)*(q-1)이다. 오일러 정리를 사용하여: M^dmod n = M^d+r*Φ mod n 이다.

만일 서로 다른 임의값 r 이 각 계산에 대하여 사용된다면, 일련의 많은 분석 과정이 수행된다 하더라도 키 d 를 추론하기가 불가능하다.

대안적으로, 비밀 키 d 가 d1*d2 mod Φ로 분해되어 암호화 과정에 대해서 Y = M^d1*d2modΦmod n = (M^d1)^d2 mod n 이 된다.

그러나, 이러한 보안 선택의 불리한 점은 소수 p와 q, 또는 Φ가 메모리 공간의 부족에 따라 스마트 카드에 평범하게 저장되지 않는다는 것이다.

비밀 키 d 는 d1과 d2의 합으로 분해될 수 있다. 그러면 d= d1 + d2 이고, 암호화 과정은 Y = M^d1+d2 mod n = M^d1* M^d2mod n = (M^d1 mod n * M^d2 mod n) mod n 이다.

아주 높은 보안 수준을 얻기 위해서, 지수를 d=d1+d2 또는 d=d1*d2 mod Φ로 분해하도록 새로운 임의의 d1/d2 쌍이 각 계산에 대하여 선택되어야 한다. 임의값의 형성은 일반적으로 매우 늦기 때문에, 이 방법은 스마트 카드에서의 사용에는 적합하지 않다. 아울러, 모듈라 지수화 과정의 컴퓨터 계산의 복잡성은 상당히 증가하여서 스마트 카드에서의 사용에 부합되지 않는다.

따라서 본 발명의 목적은 데이터가 여전히 효율적으로 사용되는 것을 보장하기 위해, 휴대형 데이터 저장매체의 칩에 포함되어 있는 비밀 데이터를 허락받지 않은 억세스로부터 보호하는 데 있다.

이러한 목적은 첨부된 특허청구범위의 각 특징적 요소에 의해 달성된다.

본 발명은 여러 명령어를 갖는 연산 프로그램이 저장된 적어도 하나의 메모리를 갖는 반도체 칩을 가지는 데이터 저장매체를 제공하며, 각 명령어는 반도체 칩의 외부에서 탐지될 수 있는 신호를 발생시킨다.

본 발명에 따르면, 데이터 저장매체는, 보안 관련 또는 안전 관련 연산을 수행하기 위하여 반도체 칩내에 저장되어 있거나, 반도체 칩에 의하여 발생되는 비밀 데이터를 적어도 세개의 데이터 부분으로 분리시키도록 설계되었다. 데이터 저장매체는 임의값의 계산과 임의값에 의한 비밀 데이터의 나눗셈을 위한 컴퓨터 장치이나 연산 장치를 포함한다. 첫째 데이터 부분은 나눗셈 과정의 정수(몫) 결과로 구성되고, 둘째 데이터 부분은 나눗셈 과정의 나머지로 형성되며, 셋째 데이터 부분은 임의값 그 자체이다.

본 발명의 바람직한 개선 예에 따르면, 비밀 데이터는 메세지의 암호화를 위한 비밀 키를 포함하며, 이 비밀 키는 비대칭 암호화 방법에서의 집단 연산(공개 키 방법, 예를 들면 타원 곡선, RSA 등)이나 모듈로 연산의 지수로써 바람직하게 사용된다.

본 발명의 다른 개선 예는 임의값이 임의값의 해밍웨이트(Hamming weight)와 더불어 임의값의 길이가 다양한 임의값에 대해서도 대략 일정하게 되도록 선택되어진다는 것이다. 이것은 비밀 데이터가 지수의 길이와 지수의 해밍웨이트에 비례하는 모듈라 지수화 과정에 대한 시간 주기로부터 추론될 수 없다는 것을 의미한다.

도 1은 암호화된 텍스트 Y 를 형성하는 흐름을 나타낸 도면.

본 발명에 따른 방법은 비밀 키가 비교적 짧은 임의값으로 나누어 지도록 한다. 나머지 없는 나눗셈 값은 비밀 키의 첫째 부분을 제공하고, 나머지는 키의 둘째 부분을 제공하고, 임의값은 셋째 부분을 제공한다.

메세지 M 의 암호화에 대하여 Y = M^d mod n 이다. 비밀 키 d 는 나머지 없이 d1, d2 와 r 로 분리되고, 여기에서 d1 = d/r (r은 임의값)이다. 나눗셈 과정에서의 나머지는 키 d 의 둘째 부분인 d2 이고, d2 = d mod r 가 되며, 따라서 키 d 는 d = r*d1 + d2 이다.

이것의 결과는 다음 암호 텍스트이다.

Y = M^d mod n = M^r*d1+d2 mod n = (M^r)^d1 * M^d2 mod n

= ((M^r)^d1 mod n * M^d2 mod n ) mod n.

암호화된 텍스트 Y 를 형성하는 과정은 도 1 에 도시되어 있다.

먼저, 임의값 r 은 1 단계에서 형성된다. 2 단계에서는 첫째 키 부분인 d1 이 비밀 키 d 로부터 , 이미 얻어진 임의값 r 에 의한 나눗셈에 의해 계산된다. 둘째 부분인 키의 나머지 부분 d2 는 d mod r 을 형성함으로써 얻어진다.

암호화 텍스트의 계산은 우선 M^r mod n 을 계산함으로써 4 단계에서 시작된다. 다음 5 단계에서는 중간 결과 값 D1 = (M^r)^d1 mod n 이 계산되고, 6 단계에서는 중간 결과 값 D2 = M^d2 mod n 이 계산된다.

개별 계산 연산의 순서는 물론 어떠한 경우에 있어서 때에 맞춰 교환될 수 있다. 따라서 (M^r)^d1 mod n = (M^d1)^r mod n 이기 때문에, 우선 M^d1 mod n 을 계산할 수 있고, (M^d1)^r mod n 도 계산할 수 있다.

마지막 7 단계에서는 중간 결과 값 D1 및 D2가 서로 곱해지고, n 에 대한 모듈로가 형성된다. 따라서:

D1 * D2 mod n = M^d mod n = Y 이다.

본 발명은 Φ를 형성하기 위하여 카드에 소수(prime number : 素數 p 와 q 가 저장될 필요가 없다는 장점을 가지며, 또한 매우 긴 계산 시간을 요구하는 긴 임의값의 곱셈을 피할 수 있는 장점이 있다. 모듈로 연산에 대한 계산의 복잡성은 합리적인 제한 범위이내이므로, 본 발명에 따른 해법은 스마트 카드에서 안전하고 효율적으로 사용될 수 있다. 아울러, 데이터 저장매체의 비휘발성 메모리내의 어떠한 데이터도 기술된 방법을 위하여 변형될 필요가 없으며, 이 변형 과정은 시간소비 과정으로써 비휘발성 메모리의 성능 악화를 야기시킨다.

모듈라 지수화는 지수의 길이와 지수의 해밍웨이트에 비례하는 시간 주기를 필요로 하므로, 임의값 r이 임의값 r의 길이와 임의값 r의 해밍웨이트의 결과가 일정하게 되는 방법을 사용하여 생성된다면 보안상 더 나은 진보가 이루어질 수 있다.

본 발명은 다수의 암호화 시스템에 대하여 사용된다. 예를 들어 RSA 암호화, E1Gama1 에 기초한 암호화, DSA, 타원 곡선 시스템 등에 대하여 참고될 수 있다.

Claims

다수의 명령어를 포함하는 연산 프로그램이 저장된 적어도 하나의 메모리를 갖는 반도체 칩을 가지며, 각 명령어는 반도체 칩 외부에서 탐지될 수 있는 신호를 발생시키는 데이터 저장매체에 있어서,

데이터 저장 매체는 임의값을 계산하고 비밀 데이터를 임의값으로 나누기 위한 계산 유닛을 포함하고, 보안 관련 또는 안전 관련 연산을 수행하기 위하여 반도체 칩내에 저장되어 있거나 또는 이러한 반도체 칩에 의하여 발생된 비밀 데이터를 적어도 3개의 데이터 부분 즉, 첫째 데이터 부분은 나눗셈 과정의 정수(몫), 둘째 데이터 부분은 나눗셈 과정의 나머지, 셋째 데이터 부분은 임의값 자체로 분리하도록 설계되어 진 것을 특징으로 하는 데이터 저장매체.
제 1 항에 있어서,

비밀 데이터는 메세지의 암호화를 위한 비밀 키인 것을 특징으로 하는 데이터 저장매체.
제 1 항 또는 제 2 항에 있어서,

비밀 데이터는 비대칭 암호화 방법에서의 집단 연산의 지수로써 사용되는 것을 특징으로 하는 데이터 저장매체.
제 1 항 또는 제 2 항에 있어서,

비밀 데이터는 모듈로 연산의 지수로써 사용되는 것을 특징으로 하는 데이터 저장매체.
제 2 항에 있어서,

비밀 키는 모듈로 연산의 지수로써 사용되는 것을 특징으로 하는 데이터 저장매체.
제 1 항에 있어서,

임의값은 임의값의 해밍웨이트와 더불어 임의값의 길이가 다양한 임의값에 대해 일정하게 되도록 선택되어지는 것을 특징으로 하는 데이터 저장매체.
다수의 명령어를 포함하는 연산 프로그램이 저장된 적어도 하나의 메모리를 갖는 반도체 칩을 가지며, 각 명령어는 반도체 칩 외부에서 탐지될 수 있는 신호를 발생시키는 데이터 저장매체에서의 비밀 데이터 보호 방법에 있어서,

데이터 저장 매체는 임의값을 계산하고 비밀 데이터를 임의값으로 나누기 위한 계산 유닛을 포함하고, 보안 관련 또는 안전 관련 연산을 수행하기 위하여 반도체 칩내에 저장되어 있거나 또는 이러한 반도체 칩에 의하여 발생된 비밀 데이터를 적어도 3개의 데이터 부분 즉, 첫째 데이터 부분은 나눗셈 과정의 정수(몫), 둘째 데이터 부분은 나눗셈 과정의 나머지, 셋째 데이터 부분은 임의값 자체로 분리하도록 설계되어 진 것을 특징으로 하는 비밀 데이터 보호 방법.
제 7 항에 있어서,

비밀 데이터는 메세지의 암호화를 위한 비밀 키인 것을 특징으로 하는 비밀 데이터 보호 방법.
제 7 항 또는 제 8 항에 있어서,

비밀 데이터는 비대칭 암호화 방법에서의 집단 연산의 지수로써 사용되는 것을 특징으로 하는 비밀 데이터 보호 방법.
제 7 항 또는 제 8 항에 있어서,

비밀 데이터는 모듈로 연산의 지수로써 사용되는 것을 특징으로 하는 비밀 데이터 보호 방법.
제 8 항에 있어서,

비밀 키는 모듈로 연산의 지수로써 사용되는 것을 특징으로 하는 비밀 데이터 보호 방법.
제 7 항에 있어서,

임의값은 임의값의 해밍웨이트와 더불어 임의값의 길이가 다양한 임의값에 대해 일정하게 되도록 선택되어지는 것을 특징으로 하는 비밀 데이터 보호 방법.
시스템 부품 인증용의 시스템에서 암호화된 메세지를 형성하는 방법에 있어서,

(a) 임의값 r이 형성되고,

(b) 첫째 비밀 키 부분인 (d1)이 비밀 키 d 를 이미 얻어진 임의값 r 으로 나누는 나눗셈에 의해 계산되고,

(c) 비밀 키의 둘째 부분인 (d2)는 d mod r 을 형성함으로써 얻어지고,

(d) 암호화된 텍스트의 계산은 M^r mod n 을 계산함으로써 시작되고,

(e) 중간 결과 값 D1 = (M^r)^d1 mod n 과 D2 = M^d2 mod n 이 계산되고,

(f) 중간 결과 값 D1 과 D2 는 서로 곱해지고 n 에 대한 모듈로가 형성되는 것을 특징으로 하는 암호화된 메세지를 형성하는 방법.
제 13 항에 있어서,

D1을 계산하기 위해, M^d1 mod n 이 우선 계산되고 (M^d1)^r mod n 가 뒤따르는 것을 특징으로 하는 암호화된 메세지를 형성하는 방법.