KR100867077B1

KR100867077B1 - 임의의 메세지 부여에 의해 억세스 보호가 이루어지는 휴대형 데이터 저장매체 및 그의 비밀 데이터 보호방법

Info

Publication number: KR100867077B1
Application number: KR1020027008263A
Authority: KR
Inventors: 드렉셀러헤르만; 파터하랄트
Original assignee: 기제케 운트 데브리엔트 게엠베하
Priority date: 1999-12-28
Filing date: 2000-12-20
Publication date: 2008-11-04
Also published as: US20030079139A1; US7441125B2; RU2280285C2; ZA200204746B; CN1180568C; EP1272984A1; WO2001048706A1; DE19963407A1; EP1272984B1; JP2003525538A; RU2002120470A; CN1415106A; HK1051928A1; ATE545921T1; AU3015101A; KR20020075877A; ES2382615T3

Abstract

본 발명은 여러 명령어를 갖는 연산 프로그램이 저장된 적어도 하나의 메모리를 갖는 반도체 칩을 가지고, 각 명령어는 반도체 칩의 외부에서 탐지될 수 있는 신호를 발생시키는 데이터 저장 매체에 관한 것이다. 본 발명에 따르면, 데이터 저장 매체는 다양한 함수를 사용하여 계산 과정에서 한번 이상 사용되는 데이터가 스크램블되도록 설계된다.

데이터 저장 매체

Description

임의의 메세지 부여에 의해 억세스 보호가 이루어지는 휴대형 데이터 저장매체 및 그의 비밀 데이터 보호방법{Portable data carrier provided with access protection by rendering messages unfamiliar}

본 발명은 비밀 데이터가 저장되고 처리되는 반도체 칩을 가지는 데이터 저장매체 및 그의 데이터 보호방법에 관한 것이다.

칩이 들어 있는 데이터 저장매체는 수많은 분야에 사용되고 있다. 예를 들면, 상품과 서비스에 대한 지불과 같은 금융거래를 수행하기 위해서나, 억세스를 제어하기 위한 신원확인수단으로 사용된다. 이러한 모든 적용에 있어서, 허락받지 않은 제3자의 억세스로부터 보호되어야 하는 비밀 데이터는 일반적으로 데이터 저장매체의 칩내에 처리되어 있다. 이러한 보호는 특히 칩의 내부 구조가 매우 작은 구역들로 되어 있기 때문에, 이러한 구조에 처리되고 있는 데이터를 빼가려는 목적으로 이러한 구조에 억세스한다는 것은 매우 어렵다는 사실에 의하여 보장된다. 이러한 억세스를 더욱 어렵게 하기 위해서, 칩은 매우 안전하게 부착된 복합물에 묻혀지는데, 이러한 복합물을 강제로 제거하면 반도체 웨이퍼가 파괴되며, 또는 적어도 그것에 저장된 비밀 데이터가 지워지게 된다. 또한, 제조시 반도체 웨이퍼를 파괴하지 않고서는 제거될 수 없는 보호층을 반도체 웨이퍼에 형성하게 하는 것도 가능하다.

그럼에도 불구하고, 매우 비싸긴 하지만 이론적으로는 사용가능한 적절한 기술적 장치에 의해, 침입자가 칩의 내부구조를 노출시키고 이를 조사할 수도 있다. 칩의 내부 구조는, 예를 들면, 특별한 에칭 방법이나 적당한 연마 작업에 의해서 노출될 수 있다. 이러한 방법으로 노출되는 인터컨넥트(interconnects)와 같은 칩의 구조는, 마이크로 프로브를 사용하여 접촉될 수 있고, 이러한 구조에서 신호의 파형을 결정하기 위하여 다른 방법을 사용하여 조사될 수 있다. 그리하여 이들 신호파형 조작 목적으로 사용하기 위하여 데이터 저장 매체로부터 비밀 키와 같은 비밀 데이터를 결정하도록 탐지된 신호를 사용하는 시도가 가능할 수 있다. 또한 마이크로 프로브를 통해 노출된 구조에서 신호 파형에 고의로 영향을 미치는 시도도 가능할 수 있다.

나아가, 최근에는 유동 소비(current consumption)를 측정하거나 암호화 과정의 시간을 측정함으로써, 특히 비밀 키와 같은 비밀 데이터를 추론해 내도록 하는 방법이 알려졌다. (Paul C. Kocher, "Timing Attacks on implementation of Diffie-Hellman, RSA, DSS, and other Systems", Springer Verlag 1998; WO 99/35782)

이러한 형태의 한가지 단순한 침입은 "단순 파워 분석(Simple Power Analysis)"(SPA) 이다. 이러한 SPA 분석 방법에서, 예를 들면, 공지된 메세지 M 은 비밀 키 d 를 사용하여 암호화되는데, 다시말해 암호화된 메세지 Y = M^dmod n 가 생성된다. 모듈러 지수화 과정에서, 지수 d 에 "1"이 있다면 제곱 과정은 중간 결과에 의하여 수행되고 곱셈 과정은 메세지 M 에 의하여 수행되며, d 에 "0"이 있다면 단지 제곱 과정만 중간 결과에 의하여 수행된다. 만일 메세지 M 이 알려져 있다면 메세지 M 은 사용되는 시간은 유동 응답 및/또는 연산되는 시간을 관찰하여 확인할 수 있다. 만일 "1"이 d 안에 있다면 이러한 메세지는 항상 사용되기 때문에 비밀 키는 아무런 문제없이 추론될 수 있다.

이러한 침입은 메세지 M 또는 비밀 키 d 에 변화를 제공함으로써 쉽게 대항할 수 있다. 그러나, 이 또한 논문 "Timing Attacks on implementation of Diffie-Hellman, RSA, DSS, and other Systems (Paul C. Kocher, Springer Verlag, 1998)" 와 국제 특허 출원 WO 99/35782 로부터 알 수 있듯이, 만일 메세지나 비밀 키가 변형, 즉 스크램블(scramble)되더라도 집적 회로의 유동 응답이 측정된 수많은 측정 곡선을 기록함으로써 비밀 키는 추론될 수 있다 (참고논문 : "Differential Power Analysis" (DPA) or Higher Order DPA).

계산 과정에서 암호화되는 메세지의 사용을 쉽게 확인함으로써 비밀 키의 확인이 불가능하도록 하기 위해, 이미 메세지의 암호화에 대하여 r*n 인자를 부가시키는 방법이 제안되었다. 암호화된 메세지 Y = M^dmod n 은 따라서 Y = (M + r*n)^d mod n 으로 바뀐다. 이것은 분석 과정에서, 공지의 메세지 M 으로 복귀하는 것이 불가능하다는 것을 의미한다. 그러나, 이러한 메세지 M 에 대한 변화에 의하더라도 유동 곡선을 관찰함으로서 특정한 형태의 반복이 확인될 수 있다. 이러한 (M + r*n) 을 포함하는 연관된 형태의 가능성이 많기 때문에, 이러한 경우에서도 곱셈과 이에 따른 비밀 키의 1이 추론될 수 있다.

유동 분석 과정에서 곱셈 과정이 같은 인자(중간 결과를 가지는 제곱 연산에 대응)를 사용하여 수행되는지 또는 다른 인자(메세지에 의한 중간결과의 곱셈 연산에 대응)를 사용하여 수행되는지를 확인하는 것이 가능하다면 또 다른 문제가 발생하게 되는데, 그 이유는 이러한 방법으로 (M + r*n) 에 의한 곱셈을 확인하는 것도 가능하기 때문이다.

따라서 본 발명은 휴대형 데이터 저장 매체의 칩에 포함된 비밀 데이터를 인증되지 아니한 억세스로부터 보호하여, 전과 같이 데이터가 여전히 효율적으로 사용되도록 보장하는 것을 목적으로 한다.

본 발명은 여러 명령어를 갖는 연산 프로그램이 저장된 적어도 하나의 메모리를 갖는 반도체 칩을 가지는 데이터 저장매체에 기초를 두고 있는데, 각 명령어는 반도체 칩의 외부에서 탐지될 수 있는 신호를 발생시킨다.

삭제

본 발명에 따르면, 데이터 저장매체는 계산 과정에서 한번 이상 사용되는 데이터를 스크램블(scramble)하는 서로 다른 다양한 함수를 사용하도록 설계된다.

데이터는 따라서 메세지일 수 있지만, 계산 과정을 수행함으로써 얻어지는 중간 결과가 될 수도 있고, 또는 데이터 저장매체에 저장되는 다른 데이터가 될 수도 있다.

스크램블되는 데이터는 가급적 암호화 되어지는 메세지이다.

또한 데이터가 중간 결과가 되고 뒤따른 제곱 연산이 곱셈으로 수행되도록 하거나, 또는 데이터가 중간 결과가 되고 중간 결과가 덧셈 과정으로 복제되도록 하는 것이 가능한 데, 이때 중간결과는 다양한 함수를 사용하여 이전에 스크램블된 것이다. 이것은 또한 유리하게도 중간 결과를 가진 연산(제곱, 덧셈 등)이 안전해지도록 하는 것을 가능하게 한다.

특히, 본 발명은 스크램블하는 함수가 지수 d에 "1"이 있다면 메세지 M이 사용되는 모듈러 연산에 의한 암호화의 형태로 제공되도록 하고, 메세지 M은 각 사용마다 다양한 함수를 사용하여 다양화되도록 한다.

본 발명의 바람직한 개선점에 따르면, 메세지 M은 인자 r_i*n (n 은 계수)를 각 i(i=1..k)의 사용마다 메세지 M에 더함으로써 스크램블되며, 이때 r_i 는 각 i 값에 대하여 다양한 임의값을 갖는 것이다. 메세지 M의 파워는 r_i*n 이 각 사용마다 더해짐에 따라 많은 시간 다른 계산 방법으로 발생될 수 있다.

만일 계수 n 이 상수 인자 k에 의하여 곱해지고, 계수 n 을 가진 다른 차수의 모듈로 연산이 단지 나중에 수행된다면, 중간 결과도 마찬가지로 스크램블되기 때문에, 보안상 또 다른 개선이 이루어질 수 있다.

본 발명은 모듈라 지수화에 대한 예시적인 구현예에 관하여 지금부터 설명되어진다. 일반화에 대한 어떠한 제한없이, 암호화된 메세지 Y = M^dmod n 를 형성하기 위하여 모듈라 지수화는 계산된다고 가정하며, 이때 d에 "1"이 있다면 메세지 M에 의한 곱셈은 물론 중간 결과를 갖는 제곱 연산이 수행되고, "0"이 있다면 중간 결과를 갖는 제곱 연산이 수행된다. 암호화된 메세지 Y = M^dmod n 를 형성하기 위하여 모듈라 지수화는 계산된다고 가정한다.

본 발명에 따르면, 암호화 과정에 대해서 임의값 r은 우선 선택되고, 곱셈값 r*n 이 형성된다. 지수화 과정은 그다음 제곱 연산으로 시작되며, 이때 Z*Z mod n 대신에 k가 정수인 (Z*(Z+r*n) mod k*n)의 표현을 계산하기 위하여 중간 결과값 Z에 곱셈값 r*n이 더해진다. 지수, 즉, 비밀 키 d가 그 지점에서 "1"을 포함하는 상황에서, 우선, (r_i*n)이 메세지 M에 더해지고, 다시말해, M + r_i*n이 형성되고 그리고 (Z*(M + r_i*n) mod k*n) 이 Z*M mod n 대신에 계산되는 곱셈화 연산이 따르게 된다. 이 과정은 비밀 키에서의 모든 숫자가 수행될 때까지 이러한 루프를 통하게 되는데, 이때 i는 각 경우에서 다음 곱셈 과정에 대하여 1씩 증가된다. 그 결과는 지수화 과정이 수행된 후에 또한 mod n 이 줄여지게 된다.

계수의 배수인 정수를 메세지 M에 더하는 것이 결과를 바꾸지 않는다는 특징의 결과로서, 결국, 메세지에서의 연속적인 수행 연산이 더이상 상호연관되지 않고 따라서 동일하고 반복되는 형태를 확인한다는 것이 불가능하기 때문에, 메세지 M이 더이상 칩의 유동 응답의 분석에 의해 얻어질 수 없다는 이점이 생긴다.

아울러, 분석 과정에 있어서, 중간 결과값 Z 뿐만 아니라 수행된 메세지 M+ r_i*n 가 각 연산에서 바뀌고, 중간 결과와 이와 연관되지 않은 인자와의 곱셈값은 따라서 곱셈 연산에서 뿐만 아니라 제곱 연산에서도 형성되기 때문에, 곱셈 연산을 제곱 연산과 구별한다는 것은 실질적으로 불가능하다.

삭제

Claims

다수의 명령어를 포함하는 연산 프로그램이 저장된 적어도 하나의 메모리를 갖는 반도체 칩을 가지며, 각 명령어는 반도체 칩 외부에서 탐지될 수 있는 신호를 발생시키는 데이터 저장매체에 있어서,

상기 데이터 저장매체가 데이터 암호화를 위한 계산 과정에서 1회 이상 사용되는 데이터를 스크램블 할 때마다 서로 다른 함수를 사용하도록 설계된 것을 특징으로 하는 임의의 메세지 부여에 의해 엑서스보호가 이루어지는 데이터 저장매체.
제 1 항에 있어서,

상기 스크램블되는 데이터는 암호화되는 메세지를 포함하는 것을 특징으로 하는 임의의 메세지 부여에 의해 엑서스보호가 이루어지는 데이터 저장매체.
제 1 항에 있어서,

상기 사용된 데이터는 중간 결과이고, 곱셈 연산에 의해 실현되는 후속의 제곱 연산 이전에 서로 다른 함수를 사용하여 상기 중간 결과가 스크램블되는 것을 특징으로 하는 임의의 메세지 부여에 의해 엑서스보호가 이루어지는 데이터 저장매체.
제 1 항에 있어서,

상기 사용된 데이터는 중간 결과이고, 중간 결과는 덧셈 과정으로 뒤따라 복제되고, 곱셈 연산에 의해 실현되는 후속의 제곱 연산 이전에 서로 다른 함수를 사용하여 상기 중간 결과가 스크램블되는 것을 특징으로 하는 임의의 메세지 부여에 의해 엑서스보호가 이루어지는 데이터 저장매체.
제 1항에 있어서,

상기 계산은 지수 d에 "1"이 있다면 메세지 M이 사용되는 모듈로 연산에 의한 암호화 과정을 포함하고, 메세지 M은 각 사용마다 서로 다른 함수를 사용하여 변화되는 것을 특징으로 하는 임의의 메세지 부여에 의해 엑서스보호가 이루어지는 데이터 저장매체.
제 5항에 있어서,

상기 메세지 M에 대해 인자 r_i*n이 각 i(i=1...k)의 사용마다 더해지고, 이때 r은 임의값이고 n은 계수인 것을 특징으로 하는 임의의 메세지 부여에 의해 엑서스보호가 이루어지는 데이터 저장매체.
제 6 항에 있어서,

상기 r_i는 모든 i에 대하여 동일한 값을 갖는 것을 특징으로 하는 임의의 메세지 부여에 의해 엑서스보호가 이루어지는 데이터 저장매체.
삭제
제 6항에 있어서,

상기 계수 n은 상수 인자 k에 의해서 곱해지고, 후속의 모듈로 연산은 계수 n으로 수행되는 것을 특징으로 하는 임의의 메세지 부여에 의해 엑서스보호가 이루어지는 데이터 저장매체.
다수의 명령어를 포함하는 연산 프로그램이 저장된 적어도 하나의 메모리를 갖는 반도체 칩을 가지며, 각 명령어는 반도체 칩 외부에서 탐지될 수 있는 신호를 발생시키는 데이터 저장매체 비밀 데이터 보호 방법에 있어서,

데이터 암호화를 위한 계산 과정에서 1회 이상 사용되는 데이터를 스크램블 할 때마다 서로 다른 함수를 사용하는 것을 특징으로 하는 데이터 저장매체의 비밀 데이터 보호방법.
제 10 항에 있어서,

상기 스크램블되는 데이터는 암호화되는 메세지를 포함하는 것을 특징으로 하는 데이터 저장매체의 비밀 데이터 보호방법.
제 10 항에 있어서,

상기 사용되는 데이터는 중간 결과이고, 곱셈 연산에 의해 실현되는 후속의 제곱 연산 이전에 서로 다른 함수를 사용하여 상기 중간 결과가 스크램블되는 것을 특징으로 하는 데이터 저장매체의 비밀 데이터 보호방법.
제 10 항에 있어서,

상기 사용되는 데이터는 중간 결과이고, 중간 결과는 덧셈 과정으로 뒤따라 복제되고, 곱셈 연산에 의해 실현되는 후속의 제곱 연산 이전에 서로 다른 함수를 사용하여 상기 중간 결과가 스크램블되는 것을 특징으로 하는 데이터 저장매체의 비밀 데이터 보호방법.
제 10 항에 있어서,

상기 계산은 지수 d에 "1"이 있다면 메세지 M이 사용되는 모듈로 연산에 의한 암호화 과정을 포함하고, 메세지 M은 각 사용에 대해 다양한 함수를 사용하여 변화되는 것을 특징으로 하는 비밀 데이터 보호방법.
삭제
제 14항에 있어서,

상기 메세지 M에 대해 인자 r_i*n 이 각 i(i=1...k)의 사용마다 더해지고, 이때 r_i는 임의값이고 n은 계수인 것을 특징으로 하는 데이터 저장매체의 비밀 데이터 보호방법.
제 16 항에 있어서,

상기 r_i는 모든 i에 대하여 동일한 값을 갖는 것을 특징으로 하는 데이터 저장매체의 비밀 데이터 보호방법.
제 16항에 있어서,

상기 계수 n은 상수 인자 k에 의해서 곱해지고, 후속의 모듈로 연산은 계수 n으로 수행되는 것을 특징으로 하는 비밀 데이터 보호방법.
삭제