KR101026439B1 - Ｓｅｅｄ 암호화에서 차분 전력 분석 공격을 방어하기 위한 마스킹 방법 - Google Patents

Abstract

본 발명은 복수의 S-박스를 하나의 마스킹 역원 테이블로 마스킹할 수 있도록 구성하여 SEED 암호화에서 차분 전력 분석 공격을 방어하기 위한 마스킹 연산시 S-박스의 마스킹에 필요한 연산량과 RAM 사용량을 효과적으로 줄일 수 있는 것을 특징으로 한다.

SEED, 암호화, S-박스, 마스킹, 차분 전력 분석 공격

Description

ＳＥＥＤ 암호화에서 차분 전력 분석 공격을 방어하기 위한 마스킹 방법{The Masking Method for Protecting Power Analysis Attacks in SEED}

본 발명은 SEED 암호화에서 전력 분석 공격을 방어하기 위한 마스킹 방법에 관한 것으로, 더 자세하게는 SEED 암호화에서 차분 전력 분석 공격을 방어하기 위한 마스킹 연산시 연산 속도와 메모리 효율성을 향상시킬 수 있는 방법에 관한 것이다.

1996년 Paul Kocher에 의해 소개된 부채널 분석 공격은 기존의 수학적 분석 방법인 차분분석, 선형분석 등과는 달리 암호 알고리즘을 구현한 암호장치에서 발생하는 부채널 정보를 이용하는 공격방법이다. 이러한 부채널 분석 공격은 실제 암호 알고리즘이 구현된 장비에 큰 위협이 되고 있으며, 이에 따라 스마트카드 응용제품의 경우 부채널 분석 공격에 대한 안전성 시험을 수행하고 있다.

부채널 분석 공격은 알고리즘의 수행 시간, 전력소모량, 전자기누출 등의 부가적인 정보를 이용한다. 그 중 전력소모량을 이용하는 전력 분석 공격이 가장 강 력한 부채널 분석 공격으로 알려져 있다.

전력 분석 공격은 암호 알고리즘이 동작할 때 비밀키와 관련된 데이터가 처리되는 시점에서 암호 모듈에서 측정된 소비전력의 특성을 분석하여 비밀키를 찾아내는 방법이다. 전력 분석 공격은 크게 단순 전력 분석 공격(Simple Power Analysis Attack : SPA)과 차분 전력 분석 공격(Differntial Power Analysis Attack : DPA)으로 나뉜다.

도 1은 일반적인 차분 전력 분석 공격의 과정을 설명하기 위한 도면이다.

도 1을 참조하면, 공격자는 공격하고자 하는 암호 장치에 대해 통상적으로 얻을 수 있는 정보를 이용하여 추정 모델(120)을 정립한다. 추정 모델(120)을 정립한 후, 추정 모델(120)에 추측 키와 평문을 입력하여 암호 알고리즘의 중간값을 계산하고, 중간값에 따른 추정 전력소모량을 결정한다.

또한, 추정 모델(120)에 입력한 평문과 동일한 평문을 공격 대상 암호 장치(110)에 입력하고, 암호 알고리즘 수행중 암호 장치(110)에서 소비한 전력소모량을 측정하여 측정 전력소모량을 추정 전력소모량과 함께 분석한다. 이러한 분석을 통해 결국 공격자는 암호 장치(110)의 비밀정보인 키를 획득할 수 있다.

현재까지 차분 전력 분석 공격을 방어하기 위한 방법이 다양하게 연구되고 있다. 그 중 마스킹 기법은 가장 저렴한 비용으로 비교적 손쉽게 암호 알고리즘에 적용할 수 있기 때문에 일반적으로 많이 사용되는 방법이다.

마스킹 기법의 기본 개념은 암호 알고리즘의 연산중에 발생하는 중간값을 공격자가 알 수 없도록 랜덤화하는 방법으로서, 공격자가 추정 모델을 통해 추정하는 전력소모량 및 실제 암호장치에서 발생하는 전력소모량 간의 상관관계를 제거하는 방법이다. 예를 들어, 마스킹 기법 중 하나인 가산 마스킹은 암호화시에 발생하는 중간값 a를 랜덤하게 생성된 m_a를 이용하여 공격자가 알 수 없는 값 a_m=a

m_a으로 대체한다. 여기서, m_a를 마스크라고 하며 이 값은 독립적으로 균일하게 분포된 값이다.

하지만, 현재까지 연구된 마스킹 기법은 AES(Advanced Encryption Standard)에 대한 것들이 대부분으로, 국내에서 개발된 SEED는 AES와 그 구조가 많이 다르기 때문에, 기존에 제안된 AES의 마스킹 기법을 SEED에 그대로 적용할 수 없다는 문제점이 있다.

따라서, 스마트카드와 같은 저메모리 및 저속 연산 환경에서 사용되는 SEED 암호 알고리즘에 적합한 마스킹 기법이 요구되고 있다.

본 발명의 목적은 SEED 암호화에서 차분 전력 분석 공격을 방어할 수 있는 마스킹 방법을 제공하는 것이다.

본 발명의 다른 목적은 SEED 암호화에서 차분 전력 분석 공격을 방어하기 위한 마스킹 연산시 연산 속도와 메모리 효율성을 향상시킬 수 있는 마스킹 방법을 제공하는 것이다.

상기 목적을 달성하기 위하여 본 발명에 따른 SEED 암호화에서 차분 전력 분석 공격을 방어하기 위한 마스킹 방법은, (a) 역원 테이블과 제1, 2 변환 테이블을 생성하여 룩업 테이블로 저장하는 단계; (b) 마스킹에 필요한 마스크값들을 생성하는 단계; (c) 상기 역원 테이블을 마스킹하여 하나의 마스킹 역원 테이블을 생성하는 단계; 및 (d) 마스킹된 원 정보가 입력되면 상기 하나의 마스킹 역원 테이블과 상기 제1, 2 변환 테이블을 이용하여 마스킹된 S-박스를 출력하는 단계를 포함하는 것을 특징으로 한다.

상기 (a) 단계에서는, 역원 행렬을 이용하여 상기 역원 테이블을 생성한 후 룩업 테이블로 저장하고, 이진 행렬을 이용하여 상기 역원 테이블의 사용에 따른 추가적인 변환을 위한 제1, 2 변환 테이블을 생성한 후 룩업 테이블로 저장하는 것이 바람직하다.

여기에서, 상기 이진 행렬(C₁, C₂)은,

,

인 것이 바람직하다.

상기 (b) 단계에서는,

m₁=rand(), m₂=C₂[m₄]

0x38, m₃=m₁

m₂,

m₄=rand(), m₅=C₁[m₄]

0xa9, m₆=m₃

m₅,

m_a=rand(), m_b=rand()

에 의해 6개의 1바이트 마스크값(m₁, m₂, m₃, m₄, m₅, m₆)과 2개의 4비트 마스크값(m_a, m_b)을 생성하는 것이 바람직하다.

상기 (c) 단계에서 생성된 마스킹 역원 테이블은 마스킹된 원 정보에 대응하여 마스킹된 역원 정보를 출력하는 것이 바람직하다.

상기 (d) 단계에서는 마스킹된 원 정보가 입력되면, 상기 마스킹 역원 테이블을 이용하여 상기 마스킹된 원 정보에 대응하는 마스킹된 역원 정보를 출력한 다음, 상기 제1, 2 변환 테이블을 이용하여 상기 마스킹된 역원 정보에 대응하는 마스킹된 S-박스를 출력한 후, 상기 마스킹된 S-박스를 마스킹하여 특정 마스크값으로 마스킹된 S-박스를 출력하는 것이 바람직하다.

한편, 상기 (d) 단계 이후에, 상기 마스킹된 S-박스를 포함하는 마스킹 G 함수에 대한 마스킹 값을 동일하게 유지하기 위한 마스킹 덧셈 연산 단계를 더 포함하는 것이 바람직하다.

본 발명의 마스킹 방법에 따르면, 스마트카드와 같은 저메모리 및 저속 연산 환경에 적합한 SEED 암호화에서 차분 전력 분석 공격을 방어할 수 있다.

또한, 본 발명의 마스킹 방법에 따르면, SEED 암호화에서 차분 전력 분석 공격을 방어하기 위한 마스킹 연산시 연산 속도와 메모리 효율성을 향상시킬 수 있다.

이하, 본 발명의 실시예에 대하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.

도 2는 본 발명이 적용되는 SEED 암호 알고리즘을 설명하기 위한 도면으로, '

'는 배타적 논리합(Exclusive-Or) 비트 연산, '||'는 둘 이상의 비트들을 연속하여 배치하는 연쇄(concatenation)를 나타낸다.

도 2를 참조하면, SEED 암호 알고리즘은 128비트의 평문 블록을 상하위 2개의 64비트 데이터들(L_i, R_i)로 나누어 16개의 64비트 라운드 키(K_i)를 이용하여 16 라운드를 수행한 후 최종적으로 128비트의 암호문 블록을 출력한다.

상기 128비트의 평문 블록을 암호화하는 과정에 대하여 좀 더 자세히 설명하면 다음과 같다.

먼저 128 비트의 평문 블록을 오른쪽 64 비트(R₀)와 왼쪽 64 비트(L₀)로 나누어 저장한다. 그 다음, 라운드 키(K₁)를 암호화 함수(F)에 적용하여 오른쪽 64 비트(R₀)를 암호화하며, 그 결과값을 왼쪽 64 비트(L₀)와 배타적 논리합 연산하여 새로운 라운드로 입력한다. 이러한 방식으로 16 라운드를 반복하게 되며, 16 라운드가 끝난 후 마지막에서 64 비트의 L₁₆과 R₁₆을 합쳐 128 비트의 암호문 블록을 출력한다.

이러한 SEED 암호 알고리즘에 마스킹 기법을 적용하는 경우, 마지막 라운드를 제외한 라운드에서는 입출력값을 특정 마스크값으로 마스킹하고 마지막 라운드에서는 출력값에서 마스킹에 사용된 마스크값을 제거한다. 그리고, 상기 암호화 함수(F)의 암호화 연산 중에 발생하는 중간값들도 공격자가 알 수 없도록 랜덤한 값으로 마스킹한다.

여기에서, 상기 암호화 함수(F)에는 비선형 연산인 S-박스 연산과 덧셈 연산이 사용되며, 이러한 비선형 연산의 마스킹에 소요되는 비용은 선형 연산의 마스킹에 소요되는 비용에 비해 상당히 큰 편이기 때문에, 비선형 연산에 대한 마스킹의 효율성에 따라 전체 마스킹 기법의 효율성이 결정된다.

따라서, 본 발명에서는 비선형 연산인 S-박스 연산과 덧셈 연산에 대한 효율 적인 마스킹 기법을 제시하며, 이에 대하여 더 자세히 설명하면 다음과 같다.

먼저, S-박스 연산에 대한 마스킹에 대하여 설명한다.

도 3은 암호화 함수(F)의 구조를 나타낸 도면이며, 도 4는 종래의 G 함수의 구조를 나타낸 도면이다.

도 3을 참조하면, 암호화 함수(F)는 32비트 단위의 2개의 블록(C, D)과 32비트 단위의 2개의 라운드 키(K_i)를 입력받아 마스킹 G 함수(MGF, Masking G Function)와 마스킹 덧셈 연산(MA, Masking Addition)에 의해 32비트 단위의 2개의 블록(C', D')을 각각 출력한다.

일반적으로 G 함수는 도 4에 도시된 바와 같이 4개의 S-박스(S₁, S₂), AND 연산 및 XOR 연산으로 이루어진다.

여기에서, 상기 S-박스(S₁, S₂)는 비선형 변환 함수로 다음의 수학식 1과 같이 정의된다.

S₁(x)=A₁·x²⁴⁷a

S₂(x)=A₂·x²⁵¹

b

여기에서,　

,

,

,

이다.

상기 수학식 1에서 알 수 있는 바와 같이, S₁(x)와 S₂(x)는 연산 과정이 매우 복잡하기 때문에 룩업 테이블로 구현하여 ROM(Read Only Memory)에 각각 저장하여 두고, 매 암호 연산시마다 2개의 룩업 테이블을 새로운 마스크값으로 각각 마스킹한 후 RAM(Random Access Memory)에 저장하여 이용하는 것이 일반적이다.

하지만, 이러한 방식의 경우 2개의 룩업 테이블을 각각 마스킹해야 하기 때문에 매번 512번의 XOR 연산을 수행해야 할 뿐만 아니라, 마스킹된 2개의 룩업 테이블을 저장하기 위해서도 512 바이트의 RAM이 필요하다는 문제점이 있다.

이를 위해 본 발명에서는 S₁(x)와 S₂(x)의 마스킹 연산시 하나의 룩업 테이블만 마스킹하면 되도록 하며, 이에 대하여 보다 구체적으로 설명하면 다음과 같다.

먼저, 상기 수학식 1에서 S₁(x)와 S₂(x)의 입출력은 8×8 이진 행렬의 원소이므로, 다음의 수학식 2와 같은 관계가 성립한다.

(x^-1)⁸≡x²⁴⁷modp(x), (x^-1)⁴≡x²⁵¹modp(x)

여기에서, p(x)=x⁸+x⁶+x⁵+x+1로 표현되는 기약다항식이다.

따라서, 상기 수학식 1의 S₁(x)와 S₂(x)는 다음의 수학식 3과 같이 나타낼 수 있다.

S₁(x) = A₁·x²⁴⁷a = A₁·x^-8a = A₁B₁·x^-1a = C₁·x^-1a

S₂(x) = A₂·x²⁵¹

b = A₂·x^-4

b = A₂B₂·x^-1

b = C₂·x^-1

b

여기에서,　

,

,

,

이다.

상기 수학식 3에서 알 수 있는 바와 같이, S₁(x)와 S₂(x)에는 하나의 역원 행렬(x^-1)이 공통으로 포함된다.

즉, 상기 역원 행렬(x^-1)을 하나의 룩업 테이블로 구현해 놓으면, S₁(x)와 S₂(x)의 마스킹 연산시 하나의 룩업 테이블만 마스킹하면 되므로, 결과적으로 마스 킹 연산에 필요한 연산량을 절반으로 감소시킬 수 있다. 또한, 상기 마스킹된 룩업 테이블의 저장을 위한 RAM의 사용량도 절반으로 줄일 수 있다.

여기에서, 상기 이진 행렬 C₁, C₂(간략히 C로 나타냄)는 선형 연산이므로 다음의 수학식 4와 같은 특성을 갖는다.

C(x^-1m) = C(x^-1) C(m)

여기에서, x^-1은 역원 행렬, m은 마스크값을 나타낸다.

상기 수학식 4에서 알 수 있는 바와 같이, 상기 이진 행렬(C₁, C₂)은 선형 연산이므로 마스크값(m)에 영향을 받지 않기 때문에, 어떠한 x(x^-1

m을 고려하지 않아도 됨)에 대해 C(x)의 출력을 미리 계산하여 룩업 테이블로 ROM(Read Only Memory)에 저장해 놓으면, 어떠한 x^-1

m에 대해서도 C(x^-1)

C(m)을 매번 계산할 필요가 없게 되므로 연산 속도를 더욱 향상시킬 수 있다.

따라서, 본 발명에서는 상기 역원 행렬(x^-1)과 상기 이진 행렬(C₁, C₂)을 룩업 테이블로 구현해놓은 후, 이들 룩업 테이블을 이용하여 S-박스 S₁(x)와 S₂(x)의 마스킹을 수행함으로써 연산량과 RAM 사용량을 감소시키며, 이에 대하여 더 자세히 설명하면 다음과 같다.

도 5는 본 발명의 일 실시예에 따른 S-박스 연산에 대한 마스킹 방법을 설명 하기 위한 도면이다.

도 5를 참조하면, 본 발명의 일 실시예에 따른 마스킹 방법은, 역원 테이블 및 변환 테이블 생성 단계(S510), 마스크값 생성 단계(S530), 마스킹 역원 테이블 생성 단계(S550), 마스킹 S-박스 구성 단계(S570)를 포함하며, 각 단계에 대하여 더 자세히 설명하면 다음과 같다.

(1) 역원 테이블 및 변환 테이블 생성 단계(S510)

이 단계에서는 두 S-박스 S₁(x)와 S₂(x)를 하나의 테이블로 마스킹할 수 있도록 만들어 주는 역원 테이블(Inv)을 생성하여 ROM에 룩업 테이블로 저장한다. 여기에서, 상기 역원 테이블(Inv)은 상기 역원 행렬(x^-1)을 룩업 테이블로 구현한 것이다.

그리고, 상기 역원 테이블(Inv)의 사용에 따른 추가적인 변환을 위한 제1, 2 변환 테이블(T₁, T₂)을 생성하여 ROM에 룩업 테이블로 저장한다. 여기에서, 상기 제1, 2 변환 테이블(T₁, T₂)은 상기 이진 행렬(C₁, C₂)을 룩업 테이블로 각각 구현한 것이다.

(2) 마스크값 생성 단계(S530)

이 단계에서는 다음의 수학식 5에 의해 마스킹에 필요한 6개의 1바이트 마스크값(m₁, m₂, m₃, m₄, m₅, m₆)과 2개의 4비트 마스크값(m_a, m_b)을 생성한다.

m₁=rand(), m₂=C₂[m₄]0x38, m₃=m₁m₂,

m₄=rand(), m₅=C₁[m₄]

0xa9, m₆=m₃

m₅,

m_a=rand(), m_b=rand()

(3) 마스킹 역원 테이블 생성 단계(S550)

이 단계에서는 ROM에 저장된 역원 테이블(Inv)을 새로운 마스크값(m₄)으로 마스킹하여 마스킹 역원 테이블(MInv)을 생성한 후, 상기 생성된 마스킹 역원 테이블(MInv)을 RAM(Random Access Memory)에 저장한다.

상기 마스킹 역원 테이블(MInv)은 원 정보(x)가 m₁과 XOR되어 마스킹된 값(x

m₁)에 대응하여 역원 정보(x^-1)가 m₄와 XOR되어 마스킹된 값(x^-1

m₄)을 출력한다.

여기에서, 상기 마스킹 역원 테이블(MInv)은 다음의 수학식 6에 의해 생성된다.

for i = 0 to 255

MInv(x_i

m₁) = Inv(x_i)

m₄

(4) 마스킹 S-박스 구성 단계(S570)

이 단계에서는 상기 마스킹 역원 테이블(MInv)과 상기 제1, 2 변환 테이블(T₁, T₂)을 이용하여 마스킹된 S-박스를 출력하는 마스킹 S-박스를 구성한다.

다시 말해, 상기 마스킹 역원 테이블(MInv)과 상기 제1, 2 변환 테이블(T₁, T₂)을 이용하여 상기 S-박스 S₁(x)와 S₂(x)의 마스킹 연산이 가능하도록 마스킹 S-박스를 구성한다.

상기 마스킹 S-박스의 연산은 다음과 같은 과정으로 이루어지게 된다.

먼저, m₁으로 마스킹된 원 정보(x

m₁)가 입력되면, 상기 마스킹 역원 테이블(MInv)을 이용하여 m₄로 마스킹된 역원 정보(x^-1

m₄)를 출력한다.

다음으로, 상기 제1 변환 테이블(T₁)을 이용하여 상기 마스킹된 역원 정보(x^-1

m₄)를 마스킹된 S-박스(S₁(x)

m₅)로 변환하며, 상기 제2 변환 테이블(T₂)을 이용하여 상기 마스킹된 역원 정보(x^-1

m₄)를 마스킹된 S-박스(S₂(x)

m₂)로 변환한다.

마지막으로, 상기 제1, 2 변환 테이블(T₁, T₂)의 출력을 m₆과 m₁에 의해 각각 마스킹하여 최종적으로 특정 마스크값(m₃)으로 마스킹된 S-박스 S₁(x)

m₃와 S₂(x)

m₃를 출력한다.

일예로, (x₀

m₁)과 (x₂

m₁)이 입력되면, 상기 마스킹 역원 테이블(MInv)은 (x₀

m₁)과 (x₂

m₁)의 입력에 대응하여 (x₀ ^-1

m₄)와 (x₂ ^-1

m₄)를 각각 출력하며, 이에 따라 상기 제1 변환 테이블(T₁)은 (x₀ ^-1

m₄)와 (x₂ ^-1

m₄)의 입력에 대응하여 (S₁(x₀)

m₅)와 (S₁(x₂)

m₅)를 각각 출력한다. 그리고, 상기 제1 변환 테이블(T₁)의 출력 (S₁(x₀)

m₅)와 (S₁(x₂)

m₅)를 m₆로 마스킹하여 최종적으로 m₃에 의해 마스킹된 (S₁(x₀)

m₃)와 (S₁(x₂)

m₃)를 출력한다.

또한, 상기 마스킹 역원 테이블(MInv)은 (x₁

m₁)과 (x₃

m₁)의 입력에 대응하여 (x₁ ^-1

m₄)와 (x₃ ^-1

m₄)를 각각 출력하며, 이에 따라 상기 제2 변환 테이블(T₂)은 (x₁ ^-1

m₄)와 (x₃ ^-1

m₄)의 입력에 대응하여 (S₂(x₁)

m₂)와 (S₂(x₃)

m₂)를 각각 출력한다. 그리고, 상기 제2 변환 테이블(T₂)의 출력 (S₂(x₁)

m₂)와 (S₂(x₃)

m₂)를 m₁으로 마스킹하여 최종적으로 m₃에 의해 마스킹된 (S₂(x₁)

m₃)와 (S₂(x₃)

m₃)를 출력한다.

따라서, m₁에 의해 마스킹된 원 정보(x

m₁)에 대한 마스킹 S-박스 MaskedS₁(x

m₁)와 MaskedS₂(x

m₁)의 연산은 다음의 수학식 7과 같이 나타낼 수 있다.

MaskedS₁(xm₁) = T₁(MInv(xm₁))m₆ = C₁·(x^-1m₄)m₅m₃

= C₁·x^-1

C₁·m₄

C₁·m₄

a

m₃ = C₁·x^-1

a

m₃

= S₁(x)

m₃

MaskedS₂(x

m₁) = T₂(MInv(x

m₁))

m₁ = C₂·(x^-1

m₄)

m₂

m₂

m₁

= C₂·x^-1

C₂·m₄

C₂·m₄

b

m₃ = C₂·x^-1

b

m₃

= S₂(x)

m₃

상기 수학식 7에서 알 수 있는 바와 같이, 상기 마스킹 S-박스 MaskedS₁(x

m₁)와 MaskedS₂(x

m₁)의 구성시 하나의 역원 테이블(Inv)만 마스킹하면 되므로, 마스킹 연산에 필요한 연산량과 RAM 사용량을 효과적으로 줄일 수 있으며, 이에 따라 연산 속도와 메모리 효율성을 크게 향상시킬 수 있다.

다음으로, 본 발명의 일 실시예에 따른 덧셈 연산에 대한 마스킹 방법에 대하여 설명한다.

도 3을 참조하면, 상기 암호화 함수(F)에는 마스킹 G 함수(MGF)에 대한 마스킹 값을 동일하게 유지시켜 주기 위해 비선형 연산인 덧셈 연산에 마스킹이 적용된 마스킹 덧셈 연산(MA)이 사용된다.

일반적으로, 덧셈 연산에는 불 마스킹 연산과 산술 마스킹 연산이 모두 포함되며, 이렇게 불 마스킹 연산과 산술 마스킹 연산이 혼용되어 사용되는 경우에는 마스킹 과정이 매우 복잡해진다.

이를 위해 본 발명에서는 다음의 수학식 8과 같은 과정을 통해 덧셈 연산의 형태를 변환하여 마스킹한다.

입력 : x'=x(m₃)⁴, y'=y(m₃)⁴ 출력 : z'=(x+y)(m₁)⁴

1. Temp = BtoA(x')

2. z' = Temp + (m_a)⁸

3. Temp = BtoA(y')

4. z' = z' + Temp

5. z' = z' + 2m₃

6. z' = AtoB(z')

상기 수학식 8에서, BtoA(x)는 불 마스킹 값을 산술 마스킹 값으로 변환하는 함수로, 다음의 수학식 9와 같이 x'=x

(m₃)⁴을 만족하는 x'에 대해서 A=x+(m₃)⁴ 을 만족하는 A을 출력하는 함수이다.

입력 : x'=x(m₃)⁴, 출력 : A = x+(m₃)⁴

1. Temp = x'

(m₆)⁴

2. Temp = Temp-(m₆)⁴

3. Temp = Temp

x'

4. A = x'

(m₅)⁴

5. A = A-(m₅)⁴

6. A = A

Temp

그리고, AtoB(x)는 산술 마스킹 값을 불 마스킹 값으로 변환하는 함수로, 다음의 수학식 10과 같이 A=x+(m_a)⁸을 만족하는 A에 대해서 B=x

(m₁)⁴을 만족하는 B를 출력하는 함수이다.

입력 : A = x+(m_a)⁸ = a₇a₆a₅a₄a₃a₂a₁a₀, 출력 : B = x(m₁)⁴ = b₇b₆b₅b₄b₃b₂b₁b₀

1. b₀FT = (a₀)

2. a = 0

3. For k from 1 to 7

3.1. a₇…a_k = a₇…a_k - CT(a_{k -1})+λ

3.2. b_k = FT(a_k)

4. B = B

(m₁)⁴

(m_b)⁸

5. Return B

상기 수학식 9 및 상기 수학식 10에서, FT 함수는 4비트 난수 m_a, m_b, λ(4비트 랜덤값)를 이용하여 입력 값 x+m_a(mod16)에 대해 x

m_b를 출력하는 마스킹 변환 함수이고, CT 함수는 x'=x+m_a이 16보다 크거나 같을 경우 캐리 값을 설정하기 위한 캐리 함수이며, FT 함수 및 CT 함수는 다음의 수학식 11과 같이 나타낼 수 있다.

입력 : m_a, m_b, λ 출력 : FT, CT

1. For x from 0 to 15

1.1. FT(x+m_a mod16) = x

m_b

1.2. CT(x) = (x＜m_a) ? (λ+1) : λ

2. Return FT, CT

상기 수학식 11에 의해 생성된 FT 함수와 CT 함수는 ROM에 룩업 테이블로 저장되는 것이 바람직하다.

즉, 본 발명에 따른 마스킹 덧셈 연산(MA)을 요약하여 설명하면 다음과 같다.

먼저 (m₃)⁴로 불 마스킹된 4바이트의 제1 입력값(x')을 산술 마스킹 값으로 변환한 후 m_a 값으로 마스킹한다. 그리고, (m₃)⁴로 불 마스킹된 4바이트의 제2 입력값(y')을 산술 마스킹 값으로 변환한다. 다음으로, 상기 m_a 값으로 마스킹된 제1 입력값(x')과 상기 산술 마스킹 값으로 변환된 제2 입력값(y')을 더한 후, 그 값을 2m₃로 마스킹한다. 마지막으로, 상기 2m₃로 마스킹된 값을 불 마스킹 값으로 변환하면 (m₁)⁴로 불 마스킹된 4바이트의 출력값(z')이 출력된다.

이와 같이 비선형 연산인 덧셈 연산의 형태를 변환하여 마스킹함으로써 마스킹 덧셈 연산(MA)을 보다 간단하게 수행할 수 있다.

이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 설명하였다. 그러나, 본 발명의 실시예는 당업계에서 통상의 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위하여 제공되어지는 것으로, 본 발명의 범위가 상기의 실시예에 한정되는 것은 아니며, 여러 가지 다른 형태로 변형이 가능함은 물론이다.

도 1은 일반적인 차분 전력 분석 공격의 과정을 설명하기 위한 도면이다.

도 2는 본 발명이 적용되는 SEED 암호 알고리즘을 설명하기 위한 도면이다.

도 3은 암호화 함수의 구조를 나타낸 도면이다.

도 4는 종래의 G 함수의 구조를 나타낸 도면이다.

도 5는 본 발명의 일 실시예에 따른 S-박스 연산에 대한 마스킹 방법을 설명하기 위한 도면이다.

* 도면의 주요부분에 대한 부호의 설명 *

110 : 암호 장치

120 : 추정 모델

F : 암호화 함수

MGF(MGF, Masking G Function) : 마스킹 G 함수

MA(Masking Addition) : 마스킹 덧셈 연산

S₁, S₂ : S-박스

Claims (14)

1. (a) 암호장치에서 역원 테이블과 제1, 2 변환 테이블을 생성하여 룩업 테이블로 저장하는 단계;

   (b) 상기 암호장치에서 마스킹에 필요한 마스크값들을 생성하는 단계;

   (c) 상기 암호장치에서 상기 역원 테이블을 마스킹하여 하나의 마스킹 역원 테이블을 생성하는 단계; 및

   (d) 상기 암호장치에서 마스킹된 원 정보가 입력되면 상기 하나의 마스킹 역원 테이블과 상기 제1, 2 변환 테이블을 이용하여 마스킹된 S-박스를 출력하는 단계를 포함하는 것을 특징으로 하는 SEED 암호화에서 전력 분석 공격을 방어하기 위한 마스킹 방법.
2. 제 1항에 있어서, 상기 (a) 단계에서,

   역원 행렬을 이용하여 상기 역원 테이블을 생성한 후 룩업 테이블로 저장하는 제1 단계; 및

   이진 행렬을 이용하여 상기 역원 테이블의 사용에 따른 추가적인 변환을 위한 제1, 2 변환 테이블을 생성한 후 룩업 테이블로 저장하는 제2 단계를 더 포함하는 것을 특징으로 하는 SEED 암호화에서 전력 분석 공격을 방어하기 위한 마스킹 방법.
3. 제 2항에 있어서, 상기 제2 단계에서,

   상기 이진 행렬(C₁, C₂)은,

   

   ,

   

   인 것을 특징으로 하는 SEED 암호화에서 전력 분석 공격을 방어하기 위한 마스킹 방법.
4. 제 3항에 있어서, 상기 (b) 단계에서,

   m₁=rand(), m₂=C₂[m₄]

   

   0x38, m₃=m₁

   

   m₂,

   m₄=rand(), m₅=C₁[m₄]

   

   0xa9, m₆=m₃

   

   m₅,

   m_a=rand(), m_b=rand()

   에 의해 6개의 1바이트 마스크값(m₁, m₂, m₃, m₄, m₅, m₆)과 2개의 4비트 마스크값(m_a, m_b)을 생성하는 단계를 더 포함하는 것을 특징으로 하는 SEED 암호화에서 전력 분석 공격을 방어하기 위한 마스킹 방법.
5. 제 1항에 있어서,

   상기 마스킹 역원 테이블은 마스킹된 원 정보에 대응하여 마스킹된 역원 정보를 출력하는 것을 특징으로 하는 SEED 암호화에서 전력 분석 공격을 방어하기 위한 마스킹 방법.
6. 제 1항에 있어서, 상기 (d) 단계에서,

   상기 하나의 마스킹 역원 테이블과 상기 제1, 2 변환 테이블을 이용하여 마스킹 S-박스를 구성하고, 상기 마스킹 S-박스를 이용하여 마스킹된 S-박스를 출력하는 단계를 더 포함하는 것을 특징으로 하는 SEED 암호화에서 전력 분석 공격을 방어하기 위한 마스킹 방법.
7. 제 6항에 있어서, 상기 (d) 단계에서,

   마스킹된 원 정보가 입력되면, 상기 마스킹 역원 테이블을 이용하여 상기 마스킹된 원 정보에 대응하는 마스킹된 역원 정보를 출력하는 제1 단계;

   상기 제1, 2 변환 테이블을 이용하여 상기 마스킹된 역원 정보에 대응하는 마스킹된 S-박스를 출력하는 제2 단계; 및

   상기 마스킹된 S-박스를 마스킹하여 특정 마스크값으로 마스킹된 S-박스를 출력하는 제3 단계를 더 포함하는 것을 특징으로 하는 SEED 암호화에서 전력 분석 공격을 방어하기 위한 마스킹 방법.
8. 제 7항에 있어서, 상기 제1 단계에서,

   상기 마스킹 역원 테이블을 이용하여 상기 마스킹된 원 정보(x

   

   m₁)에 대응하는 마스킹된 역원 정보(x^-1

   

   m₄)를 출력하는 단계를 더 포함하는 것을 특징으로 하는 SEED 암호화에서 전력 분석 공격을 방어하기 위한 마스킹 방법.
9. 제 8항에 있어서, 상기 제2 단계에서,

   상기 제1 변환 테이블을 이용하여 상기 마스킹된 역원 정보(x^-1

   

   m₄)에 대응하는 마스킹된 제1 S-박스(S₁(x)

   

   m₅)를 출력하는 단계와,

   상기 제2 변환 테이블을 이용하여 상기 마스킹된 역원 정보(x^-1

   

   m₄)에 대응하는 마스킹된 제2 S-박스(S₂(x)

   

   m₂)를 출력하는 단계를 더 포함하는 것을 특징으로 하는 SEED 암호화에서 전력 분석 공격을 방어하기 위한 마스킹 방법.
10. 제 9항에 있어서, 상기 제3 단계에서,

    상기 마스킹된 제1 S-박스(S₁(x)

    

    m₅)를 마스킹하여 특정 마스크값(m₃)으로 마스킹된 제1 S-박스 S₁(x)

    

    m₃를 출력하는 단계와,

    상기 마스킹된 제2 S-박스(S₂(x)

    

    m₂)를 마스킹하여 특정 마스크값(m₃)으로 마스킹된 제2 S-박스 S₂(x)

    

    m₃를 출력하는 단계를 더 포함하는 것을 특징으로 하는 SEED 암호화에서 전력 분석 공격을 방어하기 위한 마스킹 방법.
11. 제 6항에 있어서, 상기 (d) 단계에서,

    상기 마스킹 S-박스 MaskedS₁(x

    

    m₁), MaskedS₂(x

    

    m₁)는,

    MaskedS₁(x

    

    m₁) = T₁(MInv(x

    

    m₁))

    

    m₆ = C₁·(x^-1

    

    m₄)

    

    m₅

    

    m₃

    = C₁·x^-1

    

    C₁·m₄

    

    C₁·m₄

    

    a

    

    m₃ = C₁·x^-1

    

    a

    

    m₃

    = S₁(x)

    

    m₃

    MaskedS₂(x

    

    m₁) = T₂(MInv(x

    

    m₁))

    

    m₁ = C₂·(x^-1

    

    m₄)

    

    m₂

    

    m₂

    

    m₁

    = C₂·x^-1

    

    C₂·m₄

    

    C₂·m₄

    

    b

    

    m₃ = C₂·x^-1

    

    b

    

    m₃

    = S₂(x)

    

    m₃

    (여기에서, x는 원 정보, x^-1은 역원 정보, m₁, m₂, m₃, m₄, m₅, m₆은 서로 다른 마스크값, T₁, T₂는 이진 행렬 C₁, C₂에 의해 각각 생성된 제1, 2 변환 테이블, a는 [1,0,1,0,1,0,0,1]의 1×8 행렬, b는 [0,0,1,1,1,0,0,0]의 1×8열 행렬을 나타냄)

    에 의해 마스킹된 S-박스 S₁(x)

    

    m₃와 마스킹된 S-박스 S₂(x)

    

    m₃를 출력하는 것을 특징으로 하는 SEED 암호화에서 전력 분석 공격을 방어하기 위한 마스킹 방법.
12. 제 1항에 있어서, 상기 (d) 단계 이후에,

    상기 마스킹된 S-박스를 포함하는 마스킹 G 함수에 대한 마스킹 값을 동일하게 유지하기 위한 마스킹 덧셈 연산 단계를 더 포함하는 것을 특징으로 하는 SEED 암호화에서 전력 분석 공격을 방어하기 위한 마스킹 방법.
13. 제 12항에 있어서, 상기 마스킹 덧셈 연산 단계는,

    32비트의 불 마스킹된 제1 입력값을 산술 마스킹 값으로 변환한 후 마스킹하는 제1 단계;

    32비트의 불 마스킹된 제2 입력값을 산술 마스킹 값으로 변환하는 제2 단계;

    상기 제1 단계를 통해 얻어진 산술 마스킹 값과 상기 제2 단계를 통해 얻어진 산술 마스킹 값을 더한 후 마스킹하는 제3 단계; 및

    상기 제3 단계를 통해 얻어진 산술 마스킹 값을 불 마스킹 값으로 변환하는 제4 단계를 더 포함하는 것을 특징으로 하는 SEED 암호화에서 전력 분석 공격을 방어하기 위한 마스킹 방법.
14. 제 13항에 있어서, 상기 마스킹 덧셈 연산에서,

    마스킹 변환 함수와 캐리 함수가 사용되는 것을 특징으로 하는 SEED 암호화에서 전력 분석 공격을 방어하기 위한 마스킹 방법.

Images