KR101586811B1 - Ｈｉｇｈｔ 부채널 분석에 대응하기 위한 장치 및 방법 - Google Patents

Abstract

본 발명은 B to A 변환을 하여 안전한 덧셈연산을 하고 다시 A to B 변환을 시키는 것으로 나머지 연산을 수행하는 덧셈연산을 포함하는 부울린 마스킹 대응기법을 HIGHT 알고리즘에 적용하는 HIGHT 부채널 분석에 대응하기 위한 장치 및 방법에 관한 것으로, 8비트 랜덤 값을 XOR 연산하여 마스킹을 적용하고, 각 라운드가 시작할 때와 끝날 때 같은 마스킹 값을 가지도록 구성하여 라운드 함수를 반복적으로 사용 가능하게 하고, 라운드 키에는 각 바이트에 랜덤 값 m0을 XOR 연산하여 사용하여 HIGHT 부채널 분석에 대응할 수 있도록 한 것이다.

Description

ＨＩＧＨＴ 부채널 분석에 대응하기 위한 장치 및 방법{Apparatus and Method for Protecting Side channel Attacks on ＨＩＧＨＴ}

본 발명은 HIGHT 부채널 분석 대응에 관한 것으로, 구체적으로 B to A 변환을 하여 안전한 덧셈연산을 하고 다시 A to B 변환을 시키는 것으로 나머지 연산을 수행하는 덧셈연산을 포함하는 부울린 마스킹 대응기법을 HIGHT 알고리즘에 적용한 HIGHT 부채널 분석에 대응하기 위한 장치 및 방법에 관한 것이다.

사물인터넷(Internet of Things, IoT) 환경에서는 다양한 장비에서 인터넷 통신이 가능해야 한다. 사물인터넷 통신환경에서도 보안적인 요소를 고려해야하기 때문에 다양한 장비에 알맞은 암호알고리즘이 필요하다.

다양한 사물인터넷 환경에 적용 가능한 알고리즘은 경량블록 암호 알고리즘이 될 것이다. 이러한 환경에서 사용되는 경량블록알고리즘은 부채널 분석에 대한 취약점이 존재할 수 있다.

즉, 이론적으로 안전하다고 증명된 암호알고리즘이라 하더라도 장비에 탑재되어 구동될 때 발생하는 부가적인 정보로 비밀 키를 찾아내는 부채널 분석(Side Channel Analysis, SCA)에 취약점이 존재한다.

이러한 부채널 분석은 1996년 최초로 Paul Kocher에 의해 소개 되었다. 부채널 분석기법중에 일반적으로 사용되는 상관전력분석(Correlation Power Analysis, CPA)은 전력과 추측 값 사이의 상관도를 이용하여 비밀 키를 찾아내는 방법이다.

이러한 기법들의 발전으로 다양한 장비에서 부채널 취약점이 확인되고 있다.

한편, 환경에 알맞은 알고리즘의 필요성으로 인하여 다양한 경량 블록 암호알고리즘이 제안되고 있다.

이론적인 안정성이 증명된 국산 경량 블록 암호알고리즘으로는 SEED, ARIA, HIGHT, LEA가 있다. 이러한 블록 암호알고리즘에도 부채널 분석에 취약점이 존재한다.

그럼에도 불구하고 현재에는 심각하게 고려되지 않고 있는 실정이다.

이러한 부채널 분석에 대한 다양한 방법들이 존재하며, 이를 통해 알고리즘 내에 비밀 키를 추출할 수 있다. 이와 같은 부채널 분석에 대응하기 위하여 경량 대칭키 암호 알고리즘을 분석에 안전하기 위한 대응기법을 고려한 설계가 필요하다.

한국등록특허번호 10-1362675호 한국공개특허번호 10-2012-0129045호

본 발명은 이와 같은 종래 기술의 HIGHT 알고리즘에서 부채널 분석의 문제를 해결하기 위한 것으로, 부울린 마스킹 대응기법을 HIGHT 알고리즘에 적용하여 안전성을 높일 수 있도록 한 HIGHT 부채널 분석에 대응하기 위한 장치 및 방법을 제공하는데 그 목적이 있다.

본 발명은 B to A 변환을 하여 안전한 덧셈연산을 하고 다시 A to B 변환을 시키는 것으로 나머지 연산을 수행하는 덧셈연산을 포함하는 부울린 마스킹 대응기법을 HIGHT 알고리즘에 적용하는 HIGHT 부채널 분석에 대응하기 위한 장치 및 방법을 제공하는데 그 목적이 있다.

본 발명은 부울린 마스킹을 위한 HIGHT의 MA 연산을 두 입력에 같은 8비트 마스킹 값 m0이 되도록 구성하고, MA 연산 후 출력 마스킹 값은 8비트 m1이 되도록 구성하여 효율성을 높인 HIGHT 부채널 분석에 대응하기 위한 장치 및 방법을 제공하는데 그 목적이 있다.

본 발명은 HIGHT 마스킹 구조가 사전 연산 단계와 마스킹 적용 단계와 마스킹 라운드 과정 단계를 갖는 HIGHT 부채널 분석에 대응하기 위한 장치 및 방법을 제공하는데 그 목적이 있다.

본 발명은 8비트 랜덤 값을 XOR 연산하여 마스킹을 적용하고, 각 라운드가 시작할 때와 끝날 때 같은 마스킹 값을 가지도록 구성하여 라운드 함수를 반복적으로 사용 가능하게 하고, 라운드 키에는 각 바이트에 랜덤 값 m0을 XOR 연산하여 사용하여 효율성을 높인 HIGHT 부채널 분석에 대응하기 위한 장치 및 방법을 제공하는데 그 목적이 있다.

본 발명의 목적들은 이상에서 언급한 목적들로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.

이와 같은 목적을 달성하기 위한 본 발명에 따른 HIGHT 부채널 분석에 대응하기 위한 장치는 입력된 평문에 마스크 값 생성부에서 생성된 랜덤 마스크 값을 각각 XOR 연산 수행하여 랜덤한 평문 바이트를 생성하는 마스크 값 적용부;마스킹된 평문 바이트를 마스킹된 화이트키와 각각 MA 연산을 하여 마스킹 값을 보정하거나, XOR 연산을 수행하는 초기변환 연산 수행부;마스킹된 중간 상태문에 함수 연산을 수행하고 마스킹된 중간값의 마스킹 값을 보정하는 시프트 연산 수행부;마스킹된 중간 상태문을 마스킹된 라운드 키와 XOR 연산 후 보정하거나, MA 연산을 실시하여 결과 값을 생성하는 라운드 키 연산 수행부;마스킹된 중간 상태문에 각각 마스킹된 상태문을 MA 연산 또는 XOR 연산을 하여 마스킹값을 보정하는 마스킹 값 보정부;마스킹된 중간 상태문을 마스킹 된 화이트 키와 MA 연산을 실시하여 덧셈 연산의 결과 값을 생성하거나, 마스킹 된 화이트 키와 XOR 연산을 실시하여 마스킹이 제거된 암호문 바이트를 생성하는 최종 변환 연산 수행부;각 바이트에 마스킹된 값을 해체하여 암호문 바이트를 생성하는 마스킹 값 해제부; 및 이전 단계에서 생성된 암호문을 출력하는 암호문 출력부;를 포함하는 것을 특징으로 한다.

다른 목적을 달성하기 위한 본 발명에 따른 HIGHT 부채널 분석에 대응하기 위한 방법은 입력된 평문에 랜덤 마스크 값을 각각 XOR 연산 수행하여 랜덤한 평문 바이트를 생성하는 제 1 단계;마스킹된 평문 바이트를 마스킹된 화이트키와 각각 MA 연산을 하여 마스킹 값을 보정하거나, XOR 연산을 수행하는 제 2 단계;마스킹된 중간 상태문에 함수 연산을 수행하고 마스킹된 중간값의 마스킹 값을 보정하는 제 3 단계;마스킹된 중간 상태문을 마스킹된 라운드 키와 XOR 연산 후 보정하거나, MA 연산을 실시하여 결과 값을 생성하는 제 4 단계;마스킹된 중간 상태문에 각각 마스킹된 상태문을 MA 연산 또는 XOR 연산을 하여 마스킹값을 보정하는 제 5 단계;마스킹된 중간 상태문을 마스킹 된 화이트 키와 MA 연산을 실시하여 덧셈 연산의 결과 값을 생성하거나, 마스킹 된 화이트 키와 XOR 연산을 실시하여 마스킹이 제거된 암호문 바이트를 생성하는 제 6 단계;각 바이트에 마스킹된 값을 해체하여 암호문 바이트를 생성하고, 이전 단계에서 생성된 암호문을 출력하는 제 7 단계;를 포함하는 것을 특징으로 한다.

이와 같은 본 발명에 따른 HIGHT 부채널 분석에 대응하기 위한 장치 및 방법은 다음과 같은 효과를 갖는다.

첫째, 부울린 마스킹 대응기법을 HIGHT 알고리즘에 적용하여 성능을 높일 수 있다.

둘째, B to A 변환을 하여 안전한 덧셈연산을 하고 다시 A to B 변환을 시키는 것으로 나머지 연산을 수행하는 덧셈연산을 포함하는 부울린 마스킹 대응기법을 HIGHT 알고리즘에 적용하여 HIGHT 부채널 분석에 안전하다.

셋째, 부울린 마스킹을 위한 HIGHT의 MA 연산을 두 입력에 같은 8비트 마스킹 값 m0이 되도록 구성하고, MA 연산 후 출력 마스킹 값은 8비트 m1이 되도록 구성하여 효율성을 높일 수 있다.

넷째, 8비트 랜덤 값을 XOR 연산하여 마스킹을 적용하고, 각 라운드가 시작할 때와 끝날 때 같은 마스킹 값을 가지도록 구성하여 라운드 함수를 반복적으로 사용 가능하게 하여 효율성을 높일 수 있다.

도 1은 본 발명에 따른 HIGHT 부채널 분석에 대응하기 위한 장치의 구성 블록도
도 2는 본 발명에 따른 HIGHT 부채널 분석에 대응하기 위한 장치의 상세 구성도
도 3은 마스크 값 적용부의 상세 구성도
도 4는 마스크 덧셈부의 상세 구성도
도 5는 마스킹 덧셈 연산 알고리즘을 나타낸 구성도
도 6a와 도 6b는 초기변환 연산 수행부의 상세 구성도
도 7a와 도 7b는 시프트 연산 수행부의 연산식을 나타낸 구성도
도 8a와 도 8b는 라운드 키 연산 수행부의 상세 구성도
도 9a와 도 9b는 마스킹 값 보정부의 상세 구성도
도 10a와 도 10b는 최종변환 연산 수행부의 상세 구성도

이하, 본 발명에 따른 HIGHT 부채널 분석에 대응하기 위한 장치 및 방법의 바람직한 실시 예에 관하여 상세히 설명하면 다음과 같다.

본 발명에 따른 HIGHT 부채널 분석에 대응하기 위한 장치 및 방법의 특징 및 이점들은 이하에서의 각 실시 예에 대한 상세한 설명을 통해 명백해질 것이다.

도 1은 본 발명에 따른 HIGHT 부채널 분석에 대응하기 위한 장치의 구성 블록도이고, 도 2는 본 발명에 따른 HIGHT 부채널 분석에 대응하기 위한 장치의 상세 구성도이다.

본 발명은 B to A 변환을 하여 안전한 덧셈연산을 하고 다시 A to B 변환을 시키는 것으로 나머지 연산을 수행하는 덧셈연산을 포함하는 부울린 마스킹 대응기법을 HIGHT 알고리즘에 적용하는 것이다.

또한, 부울린 마스킹을 위한 HIGHT의 MA 연산을 두 입력에 같은 8비트 마스킹 값 m0이 되도록 구성하고, MA 연산 후 출력 마스킹 값은 8비트 m1이 되도록 구성하여 효율성을 높인 것이다.

본 발명은 8비트 랜덤 값을 XOR 연산하여 마스킹을 적용하고, 각 라운드가 시작할 때와 끝날 때 같은 마스킹 값을 가지도록 구성하여 라운드 함수를 반복적으로 사용 가능하게 하고, 라운드 키에는 각 바이트에 랜덤 값 m0을 XOR 연산하여 사용하여 HIGHT 부채널 분석에 대응할 수 있도록 한 것이다.

먼저, HIFHT 알고리즘에 관하여 설명하면 다음과 같다.

CHES 2006에 발표된 HIGHT(HIGh security and light weigHT) 알고리즘은 적은 자원을 갖는 장비에 알맞게 설계된 경량 블록 암호알고리즘이다.

HIGHT는 64비트의 블록 크기를 가지며 128비트의 비밀 키를 가진다. HIGHT 알고리즘에서는 표 1에서와 같은 표기법을 사용한다.

HIGHT 키 스케쥴은 각 바이트 별로 키가 유도되는 특징을 갖는다. 화이트 키는 수학식 1에서와 같이 나타낼 수 있다.

그리고 라운드 키 유도를 위한 알고리즘은 표 2에서와 같다.

표 2에서와 같이, 각 라운드 키의 바이트는 특정 위치의 비밀 키 바이트에 의해서 유도된다.

HIGHT는 암호화 과정에 연산이 덧셈, 로테이션, XOR 연산으로 구성된 ARX 구조이다. 전체구조는 초기변환, 32번의 라운드 과정, 최종변환과 같이 3단계로 구성된다.

HIGHT 전체 구조에서 초기변환은 수학식 2에서와 같이 표현된다.

그리고 HIGHT 라운드 함수는 F₀,F₁가 있으며 수학식 3에서와 같이 표현된다.

라운드 함수의 다른 연산은 8비트 덧셈연산과 비트단위 XOR 연산으로 이루어져 있다.

32번의 라운드 과정을 거친 상태문은 화이트 키를 이용한 최종변환 과정을 가지며 암호문이 생성된다.

이는 수학식 4에서와 같다.

본 발명은 이와 같은 HIGHT 경량 블록암호 알고리즘에서 확인되는 부채널 분석 취약점을 해결하기 위하여 부울린 마스킹 대응기법을 HIGHT 알고리즘에 적용하는 것이다.

이를 위한 본 발명에 따른 HIGHT 부채널 분석에 대응하기 위한 장치는 도 1에서와 같이, 8비트 랜덤값 m0을 생성하고, F₀[m0] = m1이 되는 값 생성, m0

m1 = m2이 되는 값 생성, F₁[m0] = m3이 되는 값을 생성하는 마스크 값 생성부(12)와, 마스크 값 생성부(12)에서 입력된 8비트 랜덤값 m0을, 평문 입력부(11)에서 입력된 평문 p₀,p₁,p₂,p₃,p₄,p₅,p₆,p₇에서 평문 p₂,p₆을 제외한 6개 바이트에 각각 XOR 연산 수행하여 랜덤한 평문 바이트를 생성하는 마스크 값 적용부(13)와, 마스킹된 평문 바이트 p₀

m0, p₄

m0에는 마스킹된 화이트키 WK₀

m0, WK₂

m0와 각각 MA 연산이 수행되고 수행 후 m1 마스킹값을 m0 마스킹 값으로 보정하고, 평문 바이트 p₂,p₆에는 마스킹 된 화이트 키 WK₁

m0, WK₃

m0와 XOR 연산을 수행하는 초기변환 연산 수행부(14)와, 마스킹된 중간상태문 s₀

m0, s₄

m0에는 F₁ 함수 연산을 수행하고, s₂

m0, s₆

m0에는 F₀ 함수 연산을 수행하고, 마스킹된 중간값 F₀[s₂]

m1, F₀[s₆]

m1을 마스킹 덧셈의 입력 마스킹 값을 같게 하기 위하여 m1 마스킹 값을 m0 마스킹 값으로 보정하는 시프트 연산 수행부(15)와, 마스킹된 중간상태문 F₁[s₀]

m3, F₁[s₄]

m3에는 마스킹된 라운드 키 RK_{r ,0}

m0,RK_{r ,2}

m0와 XOR 연산 후 덧셈의 입력 마스킹 값을 같게 하기 위하여 m0

m3값을 m0으로 보정하고, 마스킹된 중간상태문 F₀[s₂]

m0, F₀[s₆]

m0에는 마스킹된 라운드 키 RK_{r ,1}

m0,RK_{r ,3}

m0와 MA 연산을 실시하여 m1 부울린 마스킹 값을 덧셈 연산하여 결과 값을 생성하는 라운드 키 연산 수행부(16)와, 마스킹된 중간 상태문 F₁[s₀]

RK_{r ,0}

m0,F₁[s₄]

RK_{r ,2}

m0에 각각 마스킹된 상태문 s₁

m0, s₅

m0과 MA 연산을 실시하고 마스킹값을 보정하여 s'₂,s'₆값을 생성하고, 마스킹된 중간 상태문 (F₀[s₂]+RK_{r ,1})

m1, (F₀[s₆]+RK_{r ,3})

m1에 각각 마스킹된 상태문 s₃

m0, s₇

m0과 XOR 연산을 실시하고 마스킹 값을 보정하여 s'₄,s'₀값을 생성하는 마스킹 값 보정부(17)와, 마스킹된 중간 상태문 s₀

m0, s₄

m0에 각각 마스킹 된 화이트 키 WK₄

m0,WK₆

m0과 MA 연산을 실시하여 m1 부울린 마스킹 값을 가지는 덧셈 연산의 결과 값을 생성하고, 마스킹된 중간 상태문 s₂

m0, s₆

m0에 각각 마스킹 된 화이트 키 WK₅

m0,WK₇

m0과 XOR 연산을 실시하여 마스킹이 제거된 암호문 바이트 c₂,c₆을 각각 생성하는 최종 변환 연산 수행부(18)와, 각 바이트에 마스킹된 값을 해체하여 c₀,c₁,c₃,c₄,c₅,c₇ 암호문 바이트를 생성하는 마스킹 값 해제부(19)와, 이전 단계에서 생성된 암호문을 출력하는 암호문 출력부(20)를 포함한다.

그리고 본 발명에 따른 HIGHT 부채널 분석에 대응하기 위한 장치는 부울린 마스킹이 적용된 두 입력 X

m0, Y

m0을 안전하게 더하기 위하여 각각 부울린 마스킹을 산술 마스킹으로 변환을 실시하고 안전한 덧셈을 실시한 후 산술 마스킹을 부울린 마스킹으로 변환하여 덧셈의 결과값에 부울린 마스킹 m1값이 적용된 값을 생성하는 과정을 수행하는 마스킹 덧셈부(21)를 더 구비한다.

마스킹 덧셈부(21)에서의 연산 과정에서 입력은 8비트 X'(=X

m0),Y'(=Y

m0),m1이고, 출력은 8비트(x+y)

m1이다.

이와 같은 출력을 갖도록 하기 위하여, (X-m0)=BtoA(X') 연산, (Y-m0)=BtoA(Y') 연산, ((x+y)-m1=((x-m0)-m1)+(y-m0))+2m0 연산, Return(x+y)

m1=AtoB((x+y)-m1) 연산을 수행한다.

그리고 본 발명에 따른 HIGHT 부채널 분석에 대응하기 위한 방법은 도 2에서와 같이, 8비트 랜덤값 m0을 생성하고, F₀[m0] =m1이 되는 값 생성, m0

m1 = m2이 되는 값 생성, F₁[m0] = m3이 되는 값을 생성하는 단계와, 마스크 값 생성부(12)에서 입력된 8비트 랜덤값 m0을, 평문 입력부(11)에서 입력된 평문 p₂,p₆을 제외한 6개 바이트에 각각 XOR 연산 수행하여 랜덤한 평문 바이트를 생성하는 단계와, 마스킹된 평문 바이트 p₀

m0, p₄

m0에는 마스킹된 화이트키 WK₀

m0, WK₂

m0와 각각 MA 연산이 수행되고 수행 후 m1 마스킹값을 m0 마스킹 값으로 보정하고, 평문 바이트 p₂,p₆에는 마스킹 된 화이트 키 WK₁

m0, WK₃

m0와 XOR 연산을 수행하는 단계와, 마스킹된 중간상태문 s₀

m0, s₄

m0에는 F₁ 함수 연산을 수행하고, s₂

m0, s₆

m0에는 F₀ 함수 연산을 수행하고, 마스킹된 중간값 F₀[s₂]

m1, F₀[s₆]

m1을 마스킹 덧셈의 입력 마스킹 값을 같게 하기 위하여 m1 마스킹 값을 m0 마스킹 값으로 보정하는 단계와, 마스킹된 중간상태문 F₁[s₀]

m3, F₁[s₄]

m3에는 마스킹된 라운드 키 RK_r,0

m0,RK_r,2

m0와 XOR 연산 후 덧셈의 입력 마스킹 값을 같게 하기 위하여 m0

m3값을 m0으로 보정하고, 마스킹된 중간상태문 F₀[s₂]

m0, F₀[s₆]

m0에는 마스킹된 라운드 키 RK_r,1

m0,RK_r,3

m0와 MA 연산을 실시하여 m1 부울린 마스킹 값을 덧셈 연산하여 결과 값을 생성하는 단계와, 마스킹된 중간 상태문 F₁[s₀]

RK_r,0

m0,F₁[s₄]

RK_r,2

m0에 각각 마스킹된 상태문 s₁

m0, s₅

m0과 MA 연산을 실시하고 마스킹값을 보정하여 s'₂,s'₆값을 생성하고, 마스킹된 중간 상태문 (F₀[s₂]+RK_{r ,1})

m1, (F₀[s₆]+RK_{r ,3})

m1에 각각 마스킹된 상태문 s₃

m0, s₇

m0과 XOR 연산을 실시하고 마스킹 값을 보정하여 s'₄,s'₀값을 생성하는 단계와, 마스킹된 중간 상태문 s₀

m0, s₄

m0에 각각 마스킹 된 화이트 키 WK₄

m0,WK₆

m0과 MA 연산을 실시하여 m1 부울린 마스킹 값을 가지는 덧셈 연산의 결과 값을 생성하고, 마스킹된 중간 상태문 s₂

m0, s₆

m0에 각각 마스킹 된 화이트 키 WK₅

m0,WK₇

m0과 XOR 연산을 실시하여 마스킹이 제거된 암호문 바이트 c₂,c₆을 각각 생성하는 단계와, 각 바이트에 마스킹된 값을 해체하여 c₀,c₁,c₃,c₄,c₅,c₇ 암호문 바이트를 생성하는 단계와, 이전 단계에서 생성된 암호문을 출력하는 단계를 포함한다.

이와 같은 본 발명에 따른 HIGHT 부채널 분석에 대응하기 위한 장치 및 방법에 관하여 구체적으로 설명하면 다음과 같다.

HIGHT 알고리즘은 ARX 구조로, 덧셈, 로테이션과 XOR 연산으로 구성되어 있다.

본 발명에서는 부채널 대응기법인 1차 부울린 마스킹을 적용하는데, 부울린 마스킹을 적용하기 위해서는 선형연산인 로테이션과 XOR 연산에서는 마스킹 값이 변화함에 따라 그 값을 저장하는 것으로 간단히 마스킹 값의 관리가 가능하다.

하지만 비선형연산인 덧셈연산에서는 다음과 같이 덧셈연산에 대한 마스킹 관리가 필요하다.

1차 부울린 마스킹에서 덧셈연산을 하기 위해서는 B to A 변환을 하여 안전한 덧셈연산을 한다. 덧셈연산을 한 이후에 다시 A to B 변환을 시키는 것으로 나머지 연산을 수행한다.

HIGHT에서 마스킹 덧셈연산(Masking Addition, MA)을 도식화하면 도 4 및 도 5에서와 같다.

HIGHT의 MA 연산은 도 4 및 도 5에서와 같이 두 입력에 같은 8비트 마스킹 값 m0이 되도록 구성하였고, MA 연산 후 출력 마스킹 값은 8비트 m1이 되도록 구성한다.

HIGHT 마스킹 구조는 사전 연산 단계와, 마스킹 적용 단계와, 마스킹 라운드 과정 단계를 갖는다.

기본 개념은 8비트 랜덤 값을 XOR 연산하여 마스킹을 적용한다.

또한, 각 라운드가 시작할 때와 끝날 때 같은 마스킹 값을 가지도록 구성하여 라운드 함수를 반복적으로 사용 가능하게 하고, 라운드 키에는 각 바이트에 랜덤 값 m0을 XOR 연산하여 사용한다.

사전연산단계에서 8비트 랜덤한 값 m0이 생성되고 선형연산에서 마스킹 값 관리를 위해 m1=F₀[m0], m3=F₁[m0]값을 저장한다. 또한, 중간에 마스킹 값의 변환을 위해 m2=m0

m1을 저장한다.

그리고 마스킹 적용 단계에서 최초에는 평문 p₂,p₆을 제외한 각 바이트와 모든 라운드 키 각 바이트에 랜덤한 8비트 값 m0을 XOR하고 암호화 과정이 시작된다.

평문 2바이트 p₂,p₆에 마스킹을 적용하지 않는 이유는 초기변환과정에서 각각 WK₀, WK₃가 XOR 연산 되면서 마스킹이 적용되기 때문이다.

또한 p₀,p₄는 화이트 키 덧셈 후 마스킹 변환 연산이 추가된다.

이는 도 6a와 도 6b에서와 같이 표현되고, 초기변환 후에 모든 바이트를 m0 마스킹 값으로 유지하기 위하여 MA연산이 일어난 바이트는 m2를 추가적으로 XOR 연산한다.

그리고 마스킹 라운드 단계에서, HIGHT 마스킹 라운드는 입력 마스킹과 출력 마스킹이 m0로 같게 구성한다.

선형연산 중에는 마스킹 값이 제거되지 않도록 한다. 비선형연산(덧셈)은 입력 마스킹 값을 같게 하여 구성한다.

도 8a와 도 8b에서 보면, F₁을 거치며 변형된 마스킹 값 m3는 키 XOR 연산 후에 m3를 연산하여 MA입력 마스킹 값을 m0로 유지한다. MA연산 후에는 m2를 XOR 연산하여 m0로 마스킹 값을 유지한다.

F₀을 거쳐 변형된 마스킹 값 m1은 m2를 XOR 연산하여 MA 입력 마스킹 값을 m0로 유지한다. 그 후 s₃와 연산하여 라운드 연산이 끝나면 m1을 XOR 연산하여 마스킹 보정 과정을 거친다.

본 발명에 따른 HIGHT 부채널 분석에 대응하기 위한 장치 및 방법에서 각 구성 블록의 연산 동작을 구체적으로 설명하면 다음과 같다.

먼저, 마스크 값 생성부(12)는 8비트 랜덤값 m0을 생성하고, F₀[m0] =m1이 되는 값 생성, m0

m1 = m2이 되는 값 생성, F₁[m0] = m3이 되는 값을 생성한다.

그리고 마스크 값 적용부(13)는 마스크 값 생성부(12)에서 입력된 8비트 랜덤값 m0을, 평문 입력부(11)에서 입력된 평문 p₀,p₁,p₂,p₃,p₄,p₅,p₆,p₇에서 평문 p₂,p₆을 제외한 6개 바이트에 각각 XOR 연산 수행하여 랜덤한 평문 바이트를 생성한다.

도 3은 마스크 값 적용부의 상세 구성도이다.

그리고 마스킹 덧셈부(21)에서의 연산 과정을 설명하면 다음과 같다.

도 4는 마스크 덧셈부의 상세 구성도이고, 도 5는 마스킹 덧셈 연산 알고리즘을 나타낸 구성도이다.

마스킹 덧셈부(21)에서의 연산 과정은 부울린 마스킹이 적용된 두 입력 X

m0, Y

m0을 안전하게 더하기 위하여 각각 부울린 마스킹을 산술 마스킹으로 변환을 실시하고 안전한 덧셈을 실시한 후 산술 마스킹을 부울린 마스킹으로 변환하여 덧셈의 결과값에 부울린 마스킹 m1값이 적용된 값을 생성하는 과정을 수행한다.

마스킹 덧셈부(21)에서의 연산 과정에서 입력은 8비트 X'(=X

m0),Y'(=Y

m0),m1이고, 출력은 8비트(x+y)

m1이다.

이와 같은 출력을 갖도록 하기 위하여, (X-m0)=BtoA(X') 연산, (Y-m0)=BtoA(Y') 연산, ((x+y)-m1=((x-m0)-m1)+(y-m0))+2m0 연산, Return(x+y)

m1=AtoB((x+y)-m1) 연산을 수행한다.

그리고 초기변환 연산 수행부(14)에서의 연산 과정은 다음과 같다.

도 6a와 도 6b는 초기변환 연산 수행부의 상세 구성도이다.

p₁

m0, p₃

m0,p₅

m0,p₇

m0와 같이 홀수 번째 마스킹된 평문 바이트에는 별도의 연산이 수행되지 않고, 마스킹된 평문 바이트 p₀

m0, p₄

m0에는 마스킹된 화이트키 WK₀

m0, WK₂

m0와 각각 MA 연산이 수행되고 수행 후 m1 마스킹값을 m0 마스킹 값으로 보정한다.

이를 위하여, MA[p₀

m0, WK₀

m0]=p₀+WK₀

m1, p₀+WK₀

m1

m2= p₀+WK₀

m0 연산, MA[p₂

m0, WK₁

m0]=p₂+WK₁

m1, p₂+WK₁

m1

m2= p₂+WK₁

m0 연산을 수행한다.

그리고 평문 바이트 p₂,p₆에는 마스킹 된 화이트 키 WK₁

m0, WK₃

m0와 XOR 연산을 수행한다.

이를 위하여, p₂

(WK₁

m0)=(p₂

WK₁)

m0 연산, p₆

(WK₃

m0)=(p₆

WK₃)

m0 연산을 수행한다.

그리고 시프트 연산 수행부(15)에서의 연산 과정은 다음과 같다.

도 7a와 도 7b는 시프트 연산 수행부의 연산식을 나타낸 구성도이다.

마스킹된 중간상태문 s₀

m0, s₄

m0에는 F₁ 함수 연산을 수행한다.

이를 위하여 F₁[s₀

m0]은 선형연산이므로 F₁[s₀]

F₁[m0] 분리가 가능하고 이는 F₁[s₀]

m3와 같은 값을 생성한다.

그리고 F₁[s₄

m0]은 선형연산이므로 F₁[s₄]

F₁[m0] 분리가 가능하고 이는 F₁[s₄]

m3와 같은 값을 생성한다.

그리고 마스킹된 중간상태문 s₂

m0, s₆

m0에는 F₀ 함수 연산을 수행한다.

이를 위하여 F₀[s₂

m0]은 선형연산이므로 F₀[s₂]

F₀[m0] 분리가 가능하고 이는 F₀[s₂]

m1와 같은 값을 생성한다.

그리고 F₀[s₆

m0]은 선형연산이므로 F₀[s₆]

F₀[m0] 분리가 가능하고 이는 F₀[s₆]

m1와 같은 값을 생성한다.

그리고 마스킹된 중간값 F₀[s₂]

m1, F₀[s₆]

m1을 마스킹 덧셈의 입력 마스킹 값을 같게 하기 위하여 m1 마스킹 값을 m0 마스킹 값으로 보정한다.

이를 위하여, F₀[s₂]

m1

m2=F₀[s₂]

m0 연산, F₀[s₆]

m1

m2=F₀[s₆]

m0 연산을 수행한다.

그리고 라운드 키 연산 수행부(16)에서의 연산 과정은 다음과 같다.

도 8a와 도 8b는 라운드 키 연산 수행부의 상세 구성도이다.

마스킹된 중간상태문 F₁[s₀]

m3, F₁[s₄]

m3에는 마스킹된 라운드 키 RK_r,0

m0,RK_r,2

m0와 XOR 연산 후 덧셈의 입력 마스킹 값을 같게 하기 위하여 m0

m3값을 m0으로 보정한다.

이를 위하여, ((F₁[s₀]

m3)

(RK_{r ,0}

m0))

m3=F₁[s₀]

RK_{r ,0}

m0 연산, ((F₁[s₄]

m3)

(RK_r,2

m0))

m3=F₁[s₄]

RK_r,2

m0 연산을 수행한다.

그리고 마스킹된 중간상태문 F₀[s₂]

m0, F₀[s₆]

m0에는 마스킹된 라운드 키 RK_r,1

m0,RK_r,3

m0와 MA 연산을 실시하여 m1 부울린 마스킹 값을 덧셈 연산하여 결과 값을 생성한다.

이를 위하여,

MA[F₀[s₂]

m0,RK_{r ,1}

m0]=F₀[s₂]+RK_{r ,1}

m1 연산,

MA[F₀[s₆]

m0,RK_{r ,3}

m0]=F₀[s₆]+RK_{r ,3}

m1 연산을 수행한다.

그리고 마스킹 값 보정부(17)에서의 연산 과정은 다음과 같다.

도 9a와 도 9b는 마스킹 값 보정부의 상세 구성도이다.

마스킹된 중간 상태문 F₁[s₀]

RK_{r ,0}

m0,F₁[s₄]

RK_{r ,2}

m0에 각각 마스킹된 상태문 s₁

m0, s₅

m0과 MA 연산을 실시하고 마스킹값을 보정하여 s'₂,s'₆값을 생성한다.

MA[F₁[s₀]

RK_{r ,0}

m0,s₁

m0]

m2=((F₁[s₀]

RK_{r ,0})+s₁)

m1

m2=((F₁[s₀]

RK_{r ,0})+s₁)

m0=s'₂ 연산,

MA[F₁[s₄]

RK_{r ,2}

m0,s₅

m0]

m2=((F₁[s₄]

RK_{r ,2}+s₅)

m1

m2=((F₁[s₄]

RK_{r ,2}+s₅)

m0=s'₆연산을 수행한다.

그리고 마스킹된 중간 상태문 (F₀[s₂]+RK_{r ,1})

m1, (F₀[s₆]+RK_{r ,3})

m1에 각각 마스킹된 상태문 s₃

m0, s₇

m0과 XOR 연산을 실시하고 마스킹 값을 보정하여 s'₄,s'₀값을 생성한다.

이를 위하여, (F₀[s₂]+RK_{r ,1})

m1

(s₃

m0)

m1=(F₀[s₂]+RK_{r ,1}

s₃)

m0)=s'₄ 연산,

(F₀[s₆]+RK_{r ,3})

m1

(s₇

m0)

m1=(F₀[s₆]+RK_{r ,3}

s₇)

m0=s'₀ 연산을 수행한다.

이와 같은 시프트 연산 수행부(15),라운드 키 연산 수행부(16),마스킹 값 보정부(17)에서의 연산에서 32회 라운드가 반복될 때마다 다른 라운드 키가 사용된다.

그리고 최종변환 연산 수행부(18)에서의 연산 과정은 다음과 같다.

도 10a와 도 10b는 최종변환 연산 수행부의 상세 구성도이다.

마스킹된 중간 상태문 s₀

m0, s₄

m0에 각각 마스킹 된 화이트 키 WK₄

m0,WK₆

m0과 MA 연산을 실시하여 m1 부울린 마스킹 값을 가지는 덧셈 연산의 결과 값을 생성한다.

이를 위하여,

MA[s₀

m0,WK₄

m0]=(s₀+WK₄)

m1 연산, MA[s₄

m0,WK₆

m0]=(s₄+WK₆)

m1 연산을 수행한다.

그리고 마스킹된 중간 상태문 s₂

m0, s₆

m0에 각각 마스킹 된 화이트 키 WK₅

m0,WK₇

m0과 XOR 연산을 실시하여 마스킹이 제거된 암호문 바이트 c₂,c₆을 각각 생성한다.

이를 위하여,

(s₂

m0)

(WK₅

m0)=s₂

WK₅=c₂ 연산, (s₆

m0)

(WK₇

m0)=s₆

WK₇=c₆ 연산을 수행한다.

그리고 마스킹 값 해제부(19)에서의 연산 과정은 다음과 같다.

각 바이트에 마스킹된 값을 해체하여 c₀,c₁,c₃,c₄,c₅,c₇ 암호문 바이트를 생성한다.

이를 위하여,

(s_i

m0)

m0=c_i,i=1,3,5,7 연산, ((s₀+WK₄)

m1)

m1=c₀ 연산, ((s₄+WK₆)

m1)

m1=c₄ 연산을 수행한다.

그리고 암호문 출력부(20)는 이전 단계에서 생성된 암호문을 출력하는 것이다.

이상에서 설명한 본 발명에 따른 HIGHT 부채널 분석에 대응하기 위한 장치 및 방법은 B to A 변환을 하여 안전한 덧셈연산을 하고 다시 A to B 변환을 시키는 것으로 나머지 연산을 수행하는 덧셈연산을 포함하는 부울린 마스킹 대응기법을 HIGHT 알고리즘에 적용하는 것이다.

또한, 8비트 랜덤 값을 XOR 연산하여 마스킹을 적용하고, 각 라운드가 시작할 때와 끝날 때 같은 마스킹 값을 가지도록 구성하여 라운드 함수를 반복적으로 사용 가능하게 하고, 라운드 키에는 각 바이트에 랜덤 값 m0을 XOR 연산하여 사용하여 HIGHT 부채널 분석에 대응할 수 있도록 한 것이다.

이상에서의 설명에서와 같이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 본 발명이 구현되어 있음을 이해할 수 있을 것이다.

그러므로 명시된 실시 예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 하고, 본 발명의 범위는 전술한 설명이 아니라 특허청구 범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.

11. 평문 입력부 12. 마스크 값 생성부
13. 마스크 값 적용부 14. 초기변환 연산 수행부
15. 시프트 연산 수행부 16. 라운드 키 연산 수행부
17. 마스킹 값 보정부 18. 최종 변환 연산 수행부
19. 마스킹 값 해제부 20. 암호문 출력부
21. 마스킹 덧셈부

Claims (33)

1. 입력된 평문에 마스크 값 생성부에서 생성된 랜덤 마스크 값을 각각 XOR 연산 수행하여 랜덤한 평문 바이트를 생성하는 마스크 값 적용부;
   마스킹된 평문 바이트를 마스킹된 화이트키와 각각 MA 연산을 하여 마스킹 값을 보정하거나, XOR 연산을 수행하는 초기변환 연산 수행부;
   마스킹된 중간 상태문에 함수 연산을 수행하고 마스킹된 중간값의 마스킹 값을 보정하는 시프트 연산 수행부;
   마스킹된 중간 상태문을 마스킹된 라운드 키와 XOR 연산 후 보정하거나, MA 연산을 실시하여 결과 값을 생성하는 라운드 키 연산 수행부;
   마스킹된 중간 상태문에 각각 마스킹된 상태문을 MA 연산 또는 XOR 연산을 하여 마스킹값을 보정하는 마스킹 값 보정부;
   마스킹된 중간 상태문을 마스킹 된 화이트 키와 MA 연산을 실시하여 덧셈 연산의 결과 값을 생성하거나, 마스킹 된 화이트 키와 XOR 연산을 실시하여 마스킹이 제거된 암호문 바이트를 생성하는 최종 변환 연산 수행부;
   각 바이트에 마스킹된 값을 해체하여 암호문 바이트를 생성하는 마스킹 값 해제부; 및 이전 단계에서 생성된 암호문을 출력하는 암호문 출력부;를 포함하는 것을 특징으로 하는 HIGHT 부채널 분석에 대응하기 위한 장치.
2. 제 1 항에 있어서, 부울린 마스킹이 적용된 두 입력 X

   

   m0, Y

   

   m0을,
   각각 부울린 마스킹을 산술 마스킹으로 변환을 실시하고,
   덧셈을 실시한 후 산술 마스킹을 부울린 마스킹으로 변환하여 덧셈의 결과값에 부울린 마스킹 m1값이 적용된 값을 생성하는 과정을 수행하는 마스킹 덧셈부를 더 구비하는 것을 특징으로 하는 HIGHT 부채널 분석에 대응하기 위한 장치.
3. 제 2 항에 있어서, 마스킹 덧셈부에서의 연산 과정에서 입력은 8비트 X'(=X

   

   m0),Y'(=Y

   

   m0),m1이고, 출력은 8비트(x+y)

   

   m1이고,
   (X-m0)=BtoA(X') 연산, (Y-m0)=BtoA(Y') 연산, ((x+y)-m1=((x-m0)-m1)+(y-m0))+2m0 연산, Return(x+y)

   

   m1=AtoB((x+y)-m1) 연산을 수행하는 것을 특징으로 하는 HIGHT 부채널 분석에 대응하기 위한 장치.
4. 제 1 항에 있어서, 마스크 값 생성부는,
   8비트 랜덤값 m0을 생성하고, F₀[m0] =m1이 되는 값 생성, m0

   

   m1 = m2이 되는 값 생성, F₁[m0] = m3이 되는 값을 생성하는 것을 특징으로 하는 HIGHT 부채널 분석에 대응하기 위한 장치.
5. 제 1 항에 있어서, 마스크 값 적용부는,
   마스크 값 생성부에서 입력된 8비트 랜덤값 m0을, 평문 입력부에서 입력된 평문 p₀,p₁,p₂,p₃,p₄,p₅,p₆,p₇에서 평문 p₂,p₆을 제외한 6개 바이트에 각각 XOR 연산 수행하여 랜덤한 평문 바이트를 생성하는 것을 특징으로 하는 HIGHT 부채널 분석에 대응하기 위한 장치.
6. 제 1 항에 있어서, 초기변환 연산 수행부는,
   마스킹된 평문 바이트 p₀

   

   m0, p₄

   

   m0에는 마스킹된 화이트키 WK₀

   

   m0, WK₂

   

   m0와 각각 MA 연산이 수행되고 수행 후 m1 마스킹값을 m0 마스킹 값으로 보정하고,
   평문 바이트 p₂,p₆에는 마스킹 된 화이트 키 WK₁

   

   m0, WK₃

   

   m0와 XOR 연산을 수행하는 것을 특징으로 하는 HIGHT 부채널 분석에 대응하기 위한 장치.
7. 제 1 항에 있어서, 시프트 연산 수행부는,
   마스킹된 중간상태문 s₀

   

   m0, s₄

   

   m0에는 F₁ 함수 연산을 수행하고,
   s₂

   

   m0, s₆

   

   m0에는 F₀ 함수 연산을 수행하고,
   마스킹된 중간값 F₀[s₂]

   

   m1, F₀[s₆]

   

   m1을 마스킹 덧셈의 입력 마스킹 값을 같게 하기 위하여 m1 마스킹 값을 m0 마스킹 값으로 보정하는 것을 특징으로 하는 HIGHT 부채널 분석에 대응하기 위한 장치.
8. 제 1 항에 있어서, 라운드 키 연산 수행부는,
   마스킹된 중간상태문 F₁[s₀]

   

   m3, F₁[s₄]

   

   m3에는 마스킹된 라운드 키 RK_r,0

   

   m0,RK_r,2

   

   m0와 XOR 연산 후 덧셈의 입력 마스킹 값을 같게 하기 위하여 m0

   

   m3값을 m0으로 보정하고,
   마스킹된 중간상태문 F₀[s₂]

   

   m0, F₀[s₆]

   

   m0에는 마스킹된 라운드 키 RK_r,1

   

   m0,RK_r,3

   

   m0와 MA 연산을 실시하여 m1 부울린 마스킹 값을 덧셈 연산하여 결과 값을 생성하는 것을 특징으로 하는 HIGHT 부채널 분석에 대응하기 위한 장치.
9. 제 1 항에 있어서, 마스킹 값 보정부는,
   마스킹된 중간 상태문 F₁[s₀]

   

   RK_{r ,0}

   

   m0,F₁[s₄]

   

   RK_{r ,2}

   

   m0에 각각 마스킹된 상태문 s₁

   

   m0, s₅

   

   m0과 MA 연산을 실시하고 마스킹값을 보정하여 s'₂,s'₆값을 생성하고,
   마스킹된 중간 상태문 (F₀[s₂]+RK_{r ,1})

   

   m1, (F₀[s₆]+RK_{r ,3})

   

   m1에 각각 마스킹된 상태문 s₃

   

   m0, s₇

   

   m0과 XOR 연산을 실시하고 마스킹 값을 보정하여 s'₄,s'₀값을 생성하는 것을 특징으로 하는 HIGHT 부채널 분석에 대응하기 위한 장치.
10. 제 1 항에 있어서, 최종 변환 연산 수행부는,
    마스킹된 중간 상태문 s₀

    

    m0, s₄

    

    m0에 각각 마스킹 된 화이트 키 WK₄

    

    m0,WK₆

    

    m0과 MA 연산을 실시하여 m1 부울린 마스킹 값을 가지는 덧셈 연산의 결과 값을 생성하고,
    마스킹된 중간 상태문 s₂

    

    m0, s₆

    

    m0에 각각 마스킹 된 화이트 키 WK₅

    

    m0,WK₇

    

    m0과 XOR 연산을 실시하여 마스킹이 제거된 암호문 바이트 c₂,c₆을 각각 생성하는 것을 특징으로 하는 HIGHT 부채널 분석에 대응하기 위한 장치.
11. 제 1 항에 있어서, 마스킹 값 해제부는,
    각 바이트에 마스킹된 값을 해체하여 c₀,c₁,c₃,c₄,c₅,c₇ 암호문 바이트를 생성하는 것을 특징으로 하는 HIGHT 부채널 분석에 대응하기 위한 장치.
12. 제 1 항에 있어서, 시프트 연산 수행부,라운드 키 연산 수행부,마스킹 값 보정부에서의 연산에서 32회 라운드가 반복될 때마다 다른 라운드 키가 사용되는 것을 특징으로 하는 HIGHT 부채널 분석에 대응하기 위한 장치.
13. 입력된 평문에 랜덤 마스크 값을 각각 XOR 연산 수행하여 랜덤한 평문 바이트를 생성하는 제 1 단계;
    마스킹된 평문 바이트를 마스킹된 화이트키와 각각 MA 연산을 하여 마스킹 값을 보정하거나, XOR 연산을 수행하는 제 2 단계;
    마스킹된 중간 상태문에 함수 연산을 수행하고 마스킹된 중간값의 마스킹 값을 보정하는 제 3 단계;
    마스킹된 중간 상태문을 마스킹된 라운드 키와 XOR 연산 후 보정하거나, MA 연산을 실시하여 결과 값을 생성하는 제 4 단계;
    마스킹된 중간 상태문에 각각 마스킹된 상태문을 MA 연산 또는 XOR 연산을 하여 마스킹값을 보정하는 제 5 단계;
    마스킹된 중간 상태문을 마스킹 된 화이트 키와 MA 연산을 실시하여 덧셈 연산의 결과 값을 생성하거나, 마스킹 된 화이트 키와 XOR 연산을 실시하여 마스킹이 제거된 암호문 바이트를 생성하는 제 6 단계;
    각 바이트에 마스킹된 값을 해체하여 암호문 바이트를 생성하고, 이전 단계에서 생성된 암호문을 출력하는 제 7 단계;를 포함하는 것을 특징으로 하는 HIGHT 부채널 분석에 대응하기 위한 방법.
14. 제 13 항에 있어서, 부울린 마스킹이 적용된 두 입력 X

    

    m0, Y

    

    m0을,
    각각 부울린 마스킹을 산술 마스킹으로 변환을 실시하고,
    덧셈을 실시한 후 산술 마스킹을 부울린 마스킹으로 변환하여 덧셈의 결과값에 부울린 마스킹 m1값이 적용된 값을 생성하는 과정을 수행하는 단계를 더 포함하는 것을 특징으로 하는 HIGHT 부채널 분석에 대응하기 위한 방법.
15. 제 14 항에 있어서, 입력은 8비트 X'(=X

    

    m0),Y'(=Y

    

    m0),m1이고, 출력은 8비트(x+y)

    

    m1이고,
    (X-m0)=BtoA(X') 연산, (Y-m0)=BtoA(Y') 연산, ((x+y)-m1=((x-m0)-m1)+(y-m0))+2m0 연산, Return(x+y)

    

    m1=AtoB((x+y)-m1) 연산을 수행하는 것을 특징으로 하는 HIGHT 부채널 분석에 대응하기 위한 방법.
16. 제 13 항에 있어서, 제 1 단계에서,
    랜덤 마스크값을 8비트 랜덤값 m0을 생성하고, F₀[m0] =m1이 되는 값 생성, m0

    

    m1 = m2이 되는 값 생성, F₁[m0] = m3이 되는 값을 생성하여 사용하는 것을 특징으로 하는 HIGHT 부채널 분석에 대응하기 위한 방법.
17. 제 13 항에 있어서, 제 1 단계에서,
    입력된 8비트 랜덤값 m0을, 평문 입력부에서 입력된 평문 p₀,p₁,p₂,p₃,p₄,p₅,p₆,p₇에서 평문 p₂,p₆을 제외한 6개 바이트에 각각 XOR 연산 수행하여 랜덤한 평문 바이트를 생성하는 것을 특징으로 하는 HIGHT 부채널 분석에 대응하기 위한 방법.
18. 제 13 항에 있어서, 제 2 단계에서,
    마스킹된 평문 바이트 p₀

    

    m0, p₄

    

    m0에는 마스킹된 화이트키 WK₀

    

    m0, WK₂

    

    m0와 각각 MA 연산이 수행되고 수행 후 m1 마스킹값을 m0 마스킹 값으로 보정하고,
    평문 바이트 p₂,p₆에는 마스킹 된 화이트 키 WK₁

    

    m0, WK₃

    

    m0와 XOR 연산을 수행하는 것을 특징으로 하는 HIGHT 부채널 분석에 대응하기 위한 방법.
19. 제 18 항에서, MA 연산은,
    MA[p₀

    

    m0, WK₀

    

    m0]=p₀+WK₀

    

    m1, p₀+WK₀

    

    m1

    

    m2= p₀+WK₀

    

    m0 연산,
    MA[p₂

    

    m0, WK₁

    

    m0]=p₂+WK₁

    

    m1, p₂+WK₁

    

    m1

    

    m2= p₂+WK₁

    

    m0 연산인 것을 특징으로 하는 HIGHT 부채널 분석에 대응하기 위한 방법.
20. 제 18 항에서, XOR 연산은,
    p₂

    

    (WK₁

    

    m0)=(p₂

    

    WK₁)

    

    m0 연산, p₆

    

    (WK₃

    

    m0)=(p₆

    

    WK₃)

    

    m0 연산인 것을 특징으로 하는 HIGHT 부채널 분석에 대응하기 위한 방법.
21. 제 13 항에 있어서, 제 3 단계에서,
    마스킹된 중간상태문 s₀

    

    m0, s₄

    

    m0에는 F₁ 함수 연산을 수행하고,
    s₂

    

    m0, s₆

    

    m0에는 F₀ 함수 연산을 수행하고,
    마스킹된 중간값 F₀[s₂]

    

    m1, F₀[s₆]

    

    m1을 마스킹 덧셈의 입력 마스킹 값을 같게 하기 위하여 m1 마스킹 값을 m0 마스킹 값으로 보정하는 것을 특징으로 하는 HIGHT 부채널 분석에 대응하기 위한 방법.
22. 제 21 항에 있어서, F₁ 함수 연산을,
    F₁[s₀

    

    m0]은 선형연산이므로 F₁[s₀]

    

    F₁[m0] 분리가 가능하고 이는 F₁[s₀]

    

    m3와 같은 값을 생성하고,
    F₁[s₄

    

    m0]은 선형연산이므로 F₁[s₄]

    

    F₁[m0] 분리가 가능하고 이는 F₁[s₄]

    

    m3와 같은 값을 생성하여 실행하는 것을 특징으로 하는 HIGHT 부채널 분석에 대응하기 위한 방법.
23. 제 21 항에 있어서, F₀ 함수 연산을,
    F₀[s₂

    

    m0]은 선형연산이므로 F₀[s₂]

    

    F₀[m0] 분리가 가능하고 이는 F₀[s₂]

    

    m1와 같은 값을 생성하고,
    F₀[s₆

    

    m0]은 선형연산이므로 F₀[s₆]

    

    F₀[m0] 분리가 가능하고 이는 F₀[s₆]

    

    m1와 같은 값을 생성하여 실행하는 것을 특징으로 하는 HIGHT 부채널 분석에 대응하기 위한 방법.
24. 제 21 항에 있어서, m1 마스킹 값을 m0 마스킹 값으로 보정하기 위하여,
    F₀[s₂]

    

    m1

    

    m2=F₀[s₂]

    

    m0 연산, F₀[s₆]

    

    m1

    

    m2=F₀[s₆]

    

    m0 연산을 수행하는 것을 특징으로 하는 HIGHT 부채널 분석에 대응하기 위한 방법.
25. 제 13 항에 있어서, 제 4 단계에서,
    마스킹된 중간상태문 F₁[s₀]

    

    m3, F₁[s₄]

    

    m3에는 마스킹된 라운드 키 RK_r,0

    

    m0,RK_r,2

    

    m0와 XOR 연산 후 덧셈의 입력 마스킹 값을 같게 하기 위하여 m0

    

    m3값을 m0으로 보정하고,
    마스킹된 중간상태문 F₀[s₂]

    

    m0, F₀[s₆]

    

    m0에는 마스킹된 라운드 키 RK_r,1

    

    m0,RK_r,3

    

    m0와 MA 연산을 실시하여 m1 부울린 마스킹 값을 덧셈 연산하여 결과 값을 생성하는 것을 특징으로 하는 HIGHT 부채널 분석에 대응하기 위한 방법.
26. 제 25 항에 있어서, XOR 연산을,
    ((F₁[s₀]

    

    m3)

    

    (RK_{r ,0}

    

    m0))

    

    m3=F₁[s₀]

    

    RK_{r ,0}

    

    m0 연산,
    ((F₁[s₄]

    

    m3)

    

    (RK_{r ,2} m0))

    

    m3=F₁[s₄]

    

    RK_{r ,2}

    

    m0 연산으로 진행하는 것을 특징으로 하는 HIGHT 부채널 분석에 대응하기 위한 방법.
27. 제 25 항에 있어서, MA 연산을,
    MA[F₀[s₂]

    

    m0,RK_{r ,1}

    

    m0]=F₀[s₂]+RK_{r ,1}

    

    m1 연산,
    MA[F₀[s₆]

    

    m0,RK_{r ,3}

    

    m0]=F₀[s₆]+RK_{r ,3}

    

    m1 연산으로 진행하는 것을 특징으로 하는 HIGHT 부채널 분석에 대응하기 위한 방법.
28. 제 13 항에 있어서, 제 5 단계에서,
    마스킹된 중간 상태문 F₁[s₀]

    

    RK_{r ,0}

    

    m0,F₁[s₄]

    

    RK_{r ,2}

    

    m0에 각각 마스킹된 상태문 s₁

    

    m0, s₅

    

    m0과 MA 연산을 실시하고 마스킹값을 보정하여 s'₂,s'₆값을 생성하고,
    마스킹된 중간 상태문 (F₀[s₂]+RK_{r ,1})

    

    m1, (F₀[s₆]+RK_{r ,3})

    

    m1에 각각 마스킹된 상태문 s₃

    

    m0, s₇

    

    m0과 XOR 연산을 실시하고 마스킹 값을 보정하여 s'₄,s'₀값을 생성하는 것을 특징으로 하는 HIGHT 부채널 분석에 대응하기 위한 방법.
29. 제 28 항에 있어서, MA 연산을,
    MA[F₁[s₀]

    

    RK_{r ,0}

    

    m0,s₁

    

    m0]

    

    m2=((F₁[s₀]

    

    RK_{r ,0})+s₁)

    

    m1

    

    m2=((F₁[s₀]

    

    RK_{r ,0})+s₁)

    

    m0=s'₂ 연산,
    MA[F₁[s₄]

    

    RK_{r ,2}

    

    m0,s₅

    

    m0]

    

    m2=((F₁[s₄]

    

    RK_{r ,2}+s₅)

    

    m1

    

    m2=((F₁[s₄]

    

    RK_{r ,2}+s₅)

    

    m0=s'₆연산으로 진행하는 것을 특징으로 하는 HIGHT 부채널 분석에 대응하기 위한 방법.
30. 제 28 항에 있어서, XOR 연산을,
    (F₀[s₂]+RK_{r ,1})

    

    m1

    

    (s₃

    

    m0)

    

    m1=(F₀[s₂]+RK_{r ,1}

    

    s₃)

    

    m0)=s'₄ 연산,
    (F₀[s₆]+RK_{r ,3})

    

    m1

    

    (s₇

    

    m0)

    

    m1=(F₀[s₆]+RK_{r ,3}

    

    s₇)

    

    m0=s'₀ 연산으로 진행하는 것을 특징으로 하는 HIGHT 부채널 분석에 대응하기 위한 방법.
31. 제 13 항에 있어서, 제 6 단계에서,
    마스킹된 중간 상태문 s₀

    

    m0, s₄

    

    m0에 각각 마스킹 된 화이트 키 WK₄

    

    m0,WK₆

    

    m0과 MA 연산을 실시하여 m1 부울린 마스킹 값을 가지는 덧셈 연산의 결과 값을 생성하고,
    마스킹된 중간 상태문 s₂

    

    m0, s₆

    

    m0에 각각 마스킹 된 화이트 키 WK₅

    

    m0,WK₇

    

    m0과 XOR 연산을 실시하여 마스킹이 제거된 암호문 바이트 c₂,c₆을 각각 생성하는 것을 특징으로 하는 HIGHT 부채널 분석에 대응하기 위한 방법.
32. 제 31 항에 있어서, MA 연산을,
    MA[s₀

    

    m0,WK₄

    

    m0]=(s₀+WK₄)

    

    m1 연산, MA[s₄

    

    m0,WK₆

    

    m0]=(s₄+WK₆)

    

    m1 연산으로 진행하는 것을 특징으로 하는 HIGHT 부채널 분석에 대응하기 위한 방법.
33. 제 31 항에 있어서, XOR 연산을,
    (s₂

    

    m0)

    

    (WK₅

    

    m0)=s₂

    

    WK₅=c₂ 연산, (s₆

    

    m0)

    

    (WK₇

    

    m0)=s₆

    

    WK₇=c₆ 연산으로 진행하는 것을 특징으로 하는 HIGHT 부채널 분석에 대응하기 위한 방법.
    
    
    
    

Images