KR101941886B1 - 블록 암호 알고리즘의 안전성 검증 장치 및 방법 - Google Patents

블록 암호 알고리즘의 안전성 검증 장치 및 방법 Download PDF

Info

Publication number
KR101941886B1
KR101941886B1 KR1020180051954A KR20180051954A KR101941886B1 KR 101941886 B1 KR101941886 B1 KR 101941886B1 KR 1020180051954 A KR1020180051954 A KR 1020180051954A KR 20180051954 A KR20180051954 A KR 20180051954A KR 101941886 B1 KR101941886 B1 KR 101941886B1
Authority
KR
South Korea
Prior art keywords
power consumption
output
layer
analysis
intermediate value
Prior art date
Application number
KR1020180051954A
Other languages
English (en)
Inventor
원유승
박애선
이종혁
한동국
Original Assignee
국민대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국민대학교산학협력단 filed Critical 국민대학교산학협력단
Priority to KR1020180051954A priority Critical patent/KR101941886B1/ko
Application granted granted Critical
Publication of KR101941886B1 publication Critical patent/KR101941886B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • H04L9/003Countermeasures against attacks on cryptographic mechanisms for power analysis, e.g. differential power analysis [DPA] or simple power analysis [SPA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/001Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using chaotic signals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/04Masking or blinding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/26Testing cryptographic entity, e.g. testing integrity of encryption key or encryption algorithm

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명은 블록 암호 알고리즘의 안전성 검증 장치 및 방법에 관한 것으로, 각각이 제1 및 제2 계층들로 구성된 복수의 암호 함수들을 포함하는 블록 암호 알고리즘의 암호화 과정에서의 소비전력을 수신하는 소비전력 수신부, 상기 소비전력을 분석하여 상기 블록 암호 알고리즘에 있는 내부 암호 함수의 제1 계층의 종단 지점을 포함하는 소비전력 분석구간을 검출하는 소비전력 분석구간 검출부, 상기 내부 암호 함수의 제2 계층의 출력을 구성하는 복수의 출력 블록들에서 샘플링된, 복수의 샘플링 블록들 간의 연산을 통해 상기 내부 암호 함수의 출력에 해당하는 중간값을 추정하는 암호함수 중간값 추정부 및 상기 중간값을 기초로 상기 소비전력 분석구간에 대한 상관전력분석을 수행하는 상관전력분석부를 포함한다.

Description

블록 암호 알고리즘의 안전성 검증 장치 및 방법{APPARATUS AND METHOD OF VERIFYING THE SECURITY OF BLOCK CIPHER ALGORITHM}
본 발명은 블록 암호 알고리즘의 안전성 검증 기술에 관한 것으로, 보다 상세하게는 블록 암호 알고리즘의 중간값을 추정하여 효과적인 부채널 분석이 가능한 블록 암호 알고리즘의 안전성 검증 장치 및 방법에 관한 것이다.
부채널 분석은 암호 장비에서 수집 가능한 시간 정보(Timing), 전력 소비량(Power Consumption), 전자파 방출(Electromagnetic Emission) 등의 부채널 정보를 활용하여 암호 장비 내에서 사용된 비밀 키와 같은 민감한 정보를 취득하는 분석법이다. 특히, 특정등급의 정보보호 제품으로서 가치를 인정받기 위해서는 부채널 분석에 대한 대응기법은 필수 불가결한 사항이다. 블록 암호 알고리즘은 정보보호 제품에 대한 가용성을 제공하기 위해 1차 부울린 마스킹 기법과 하이딩 기법을 혼용하여 활용할 수 있다.
SEED는 1999년 2월 한국정보보호센터(현 한국정보보호진흥원)에서 개발한 블록 암호 알고리즘으로 민간 부분인 인터넷, 전자상거래 및 무선 통신 등에서 공개 시에 민감한 영향을 미칠 수 있는 정보를 보호하고 개인 프라이버시 등을 보호하기 위한 목적으로 개발되었다. SEED 알고리즘의 전체 구조는 Feistel 구조로 이루어져 있으며, 128비트의 평문 블록과 128비트 키를 입력으로 사용하여 총 16라운드를 거쳐 128비트 암호문 블록을 출력한다. Feistel 구조란 각각 n/2 비트의 L0, R0 블록으로 이루어진 n비트 평문 블록 (L0, R0)이 r라운드(r≥1)를 거쳐 암호문 (Lr, Rr)으로 변환되는 반복 구조이다.
마스킹 기법(Masking Countermeasure)은 예상되는 중간 값을 랜덤하게 하는 것을 목적으로 하는 대응기법으로, 일반적으로 예상되는 중간 값 v에 대하여 매번 랜덤 값을 생성하여 vm = v⊥m 과 같은 방법을 통해 중간 값을 유지할 수 있다. 여기에서, vm은 m에 의하여 마스킹 기법이 적용된 것을 의미하고, ⊥은 마스킹 기법에 사용된 연산을 의미한다. ⊥이
Figure 112018044517037-pat00001
인 경우 부울린 마스킹 기법이라고 하며, GF(2n) 위에서 연산 +, ×을 활용하는 것을 산술 마스킹 기법이라고 한다. 또한, 비밀 분산법은 순서쌍을 이용하여 (vm, m) 형태로 순서쌍 원소 기반으로 알고리즘이 연산되는 형태이고 순서쌍의 원소 중 한 가지만으로는 예상되는 중간 값을 누출하지 못하게 하는 기법이다.
하이딩 기법(Hiding Countermeasure)은 파형과 예상되는 중간 값 사이의 연관성을 끊거나 최소한으로 적용하는 기법으로, 예상되는 중간 값 연산이 반복적으로 수행되는 경우 최소한 작은 확률로 같은 위치에서 연산되도록 구성하는 기법이다. 즉, 하이딩 기법은 공격자가 이용할 수 있는 정보를 파형 상에 분배시켜 공격자가 쉽게 예측할 수 없도록 하는 전략을 사용한다. 하이딩 기법은 크게 3가지로 나타낼 수 있고, 랜덤 더미 연산 삽입과 셔플링(shuffling), 그리고 더미 연산 삽입 & 셔플링 기법이 있다.
한국등록특허 제10-0855958(2008.08.27)호
본 발명의 일 실시예는 블록 암호 알고리즘의 중간값을 추정하여 효과적인 부채널 분석이 가능한 블록 암호 알고리즘의 안전성 검증 장치 및 방법을 제공하고자 한다.
본 발명의 일 실시예는 블록 암호 알고리즘을 구성하는 내부 암호 함수의 출력값을 추정하여 2차 상관전력분석을 수행할 수 있는 블록 암호 알고리즘의 안전성 검증 장치 및 방법을 제공하고자 한다.
본 발명의 일 실시예는 혼돈 계층의 출력값으로 확산 계층의 출력값을 도출하는 수식을 전개하여 중간값을 추정할 수 있는 블록 암호 알고리즘의 안전성 검증 장치 및 방법을 제공하고자 한다.
실시예들 중에서, 블록 암호 알고리즘의 안전성 검증 장치는 각각이 제1 및 제2 계층들로 구성된 복수의 암호 함수들을 포함하는 블록 암호 알고리즘의 암호화 과정에서의 소비전력을 수신하는 소비전력 수신부, 상기 소비전력을 분석하여 상기 블록 암호 알고리즘에 있는 내부 암호 함수의 제1 계층의 종단 지점을 포함하는 소비전력 분석구간을 검출하는 소비전력 분석구간 검출부, 상기 내부 암호 함수의 제2 계층의 출력을 구성하는 복수의 출력 블록들에서 샘플링된, 복수의 샘플링 블록들 간의 연산을 통해 상기 내부 암호 함수의 출력에 해당하는 중간값을 추정하는 암호함수 중간값 추정부 및 상기 중간값을 기초로 상기 소비전력 분석구간에 대한 상관전력분석을 수행하는 상관전력분석부를 포함한다.
상기 소비전력 수신부는 마스킹 대응기법 및 하이딩 대응기법이 적용된 상기 블록 암호 알고리즘을 이용한 암호화 과정에서의 소비전력을 수신할 수 있다.
상기 소비전력 분석구간 검출부는 상기 제1 계층의 종단 지점부터 상기 제2 계층의 출력을 로딩하는 지점까지의 구간을 상기 소비전력 분석구간으로서 검출할 수 있다.
상기 암호함수 중간값 추정부는 상기 제1 계층의 출력들로부터 상기 제2 계층의 출력을 도출하여 상기 복수의 출력 블록들 각각에 대한 도출식을 생성할 수 있다.
상기 암호함수 중간값 추정부는 상기 복수의 샘플링 블록들에 대한 상기 도출식을 이용하여 상기 복수의 샘플링 불록들 간의 연산식을 생성함으로써 상기 중간값을 추정할 수 있다.
상기 상관전력분석부는 상기 소비전력 분석구간에 있는 소비전력의 파형에서 선택된 복수의 선택지점들에 대해 전처리 함수를 이용하여 전처리된 소비전력을 산출할 수 있다.
상기 상관전력분석부는 상기 복수의 선택지점들에서의 예상 소비전력 및 상기 전처리된 소비전력 간의 상관도를 산출함으로써 2차 상관전력분석을 수행할 수 있다.
상기 상관전력분석부는 상기 복수의 선택지점들에서의 임시 중간값에 대해 해밍 웨이트(Hamming Weight) 또는 해밍 디스턴스(Hamming Distance)를 적용하여 상기 예상 소비전력을 결정할 수 있다.
실시예들 중에서, 블록 암호 알고리즘의 안전성 검증 방법은 (a) 각각이 제1 및 제2 계층들로 구성된 복수의 암호 함수들을 포함하는 블록 암호 알고리즘의 암호화 과정에서의 소비전력을 수신하는 단계, (b) 상기 소비전력을 분석하여 상기 블록 암호 알고리즘에 있는 내부 암호 함수의 제1 계층의 종단 지점을 포함하는 소비전력 분석구간을 검출하는 단계, (c) 상기 내부 암호 함수의 제2 계층의 출력을 구성하는 복수의 출력 블록들에서 샘플링된, 복수의 샘플링 블록들 간의 연산을 통해 상기 내부 암호 함수의 출력에 해당하는 중간값을 추정하는 단계 및 (d) 상기 중간값을 기초로 상기 소비전력 분석구간에 대한 상관전력분석을 수행하는 단계를 포함한다.
상기 (b) 단계는 상기 제1 계층의 종단 지점부터 상기 제2 계층의 출력을 로딩하는 지점까지의 구간을 상기 소비전력 분석구간으로서 검출하는 단계일 수 있다.
상기 (c) 단계는 상기 제1 계층의 출력들로부터 상기 제2 계층의 출력을 도출하여 상기 복수의 출력 블록들 각각에 대한 도출식을 생성하는 단계일 수 있다.
상기 (c) 단계는 상기 복수의 샘플링 블록들에 대한 상기 도출식을 이용하여 상기 복수의 샘플링 불록들 간의 연산식을 생성함으로써 상기 중간값을 추정하는 단계일 수 있다.
개시된 기술은 다음의 효과를 가질 수 있다. 다만, 특정 실시예가 다음의 효과를 전부 포함하여야 한다거나 다음의 효과만을 포함하여야 한다는 의미는 아니므로, 개시된 기술의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.
본 발명의 일 실시예에 따른 블록 암호 알고리즘의 안전성 검증 장치 및 방법은 블록 암호 알고리즘을 구성하는 내부 암호 함수의 출력값을 추정하여 2차 상관전력분석을 수행할 수 있다.
본 발명의 일 실시예에 따른 블록 암호 알고리즘의 안전성 검증 장치 및 방법은 혼돈 계층의 출력값으로 확산 계층의 출력값을 도출하는 수식을 전개하여 중간값을 추정할 수 있다.
도 1은 SEED 블록 암호 알고리즘의 동작 과정에서 수집한 소비전력 파형의 일 실시예를 설명하는 도면이다.
도 2는 SEED 블록 암호 알고리즘의 동작 과정을 설명하는 예시도이다.
도 3은 본 발명의 일 실시예에 따른 블록 암호 알고리즘의 안전성 검증 시스템을 설명하는 도면이다.
도 4는 도 3에 있는 안전성 검증 장치를 설명하는 블록도이다.
도 5는 도 3에 있는 안전성 검증 장치에서 수행되는 안전성 검증 과정을 설명하는 순서도이다.
도 6은 본 발명의 일 실시예에 따른 블록 암호 알고리즘의 안전성 검증 장치의 전체적인 동작을 설명하는 도면이다.
본 발명에 관한 설명은 구조적 내지 기능적 설명을 위한 실시예에 불과하므로, 본 발명의 권리범위는 본문에 설명된 실시예에 의하여 제한되는 것으로 해석되어서는 아니 된다. 즉, 실시예는 다양한 변경이 가능하고 여러 가지 형태를 가질 수 있으므로 본 발명의 권리범위는 기술적 사상을 실현할 수 있는 균등물들을 포함하는 것으로 이해되어야 한다. 또한, 본 발명에서 제시된 목적 또는 효과는 특정 실시예가 이를 전부 포함하여야 한다거나 그러한 효과만을 포함하여야 한다는 의미는 아니므로, 본 발명의 권리범위는 이에 의하여 제한되는 것으로 이해되어서는 아니 될 것이다.
한편, 본 출원에서 서술되는 용어의 의미는 다음과 같이 이해되어야 할 것이다.
"제1", "제2" 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위한 것으로, 이들 용어들에 의해 권리범위가 한정되어서는 아니 된다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.
어떤 구성요소가 다른 구성요소에 "연결되어"있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결될 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어"있다고 언급된 때에는 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 한편, 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "포함하다"또는 "가지다" 등의 용어는 실시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이며, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
각 단계들에 있어 식별부호(예를 들어, a, b, c 등)는 설명의 편의를 위하여 사용되는 것으로 식별부호는 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 문맥상 명백하게 특정 순서를 기재하지 않는 이상 명기된 순서와 다르게 일어날 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며 반대의 순서대로 수행될 수도 있다.
본 발명은 컴퓨터가 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현될 수 있고, 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광 데이터 저장 장치 등이 있다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
여기서 사용되는 모든 용어들은 다르게 정의되지 않는 한, 본 발명이 속하는 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한 이상적이거나 과도하게 형식적인 의미를 지니는 것으로 해석될 수 없다.
128비트 키를 사용하는 SEED-128은 총 16라운드를 거쳐 128비트 평문을 암호화할 수 있다. SEED-128은 128비트 평문을 각각 64비트 블록 L0과 R0으로 나눈뒤, Feistal 구조 내의 F-함수 16번을 거쳐 암호문인 (L16, R16)을 출력할 수 있다. F-함수 내에는 S-box와 AND 연산이 포함된 G-함수와 덧셈 연산이 수행될 수 있다. SEED 블록 암호 알고리즘은 대부분 부울린 마스킹을 활용하지만, F-함수 내에 덧셈을 포함하고 있기 때문에 부분적으로 산술 마스킹으로 변환하여 사용할 수 있다.
또한, 현재의 컴퓨팅 환경을 고려한다면 1차 마스킹 대응기법(First-order Masking Countermeasure)이 적용된 블록 암호 알고리즘은 쉽게 분석될 수 있다. 따라서, 1차 마스킹 대응기법이 적용된 블록 암호 알고리즘은 더미 연산 및 셔플링 대응기법을 추가적으로 삽입하여 분석을 더욱 어렵게 할 수 있다.
도 1은 SEED 블록 암호 알고리즘의 동작 과정에서 수집한 소비전력 파형의 일 실시예를 설명하는 도면이다. 도 1을 참조하면, 첫 라운드(150)와 마지막 라운드(170)에만 하이딩 대응기법(110)을 적용하고 모든 라운드에 마스킹 대응기법(130)을 적용한 SEED 블록 암호 알고리즘이 Chipwhisperer-Lite(CW1173)에서 동작할 때의 소비전력 파형을 확인할 수 있다. 블록 암호 알고리즘에 부채널 대응기법을 적용할 때, 일반적으로 효율성을 위해 모든 라운드에 마스킹 대응기법(130)을 적용하고, 첫 라운드(150)와 마지막 라운드(170) 또는 첫 번째와 마지막 혼돈 계층과 확산 계층에만 하이딩 대응기법(110)을 적용할 수 있다.
도 2는 SEED 블록 암호 알고리즘의 동작 과정을 설명하는 예시도이다.
도 2를 참조하면, SEED 블록 암호 알고리즘(210)은 G-함수(250) 내의 혼돈 계층(251)의 연산으로 S1과 S2를 포함하고, 확산 계층(253)의 연산으로 S2(X3), S1(X2), S2(X1), S1(X0)로부터 Z3, Z2, Z1, Z0를 도출하기까지의 특정 값과의 AND 연산과 XOR 연산들을 포함할 수 있다. 부채널 분석 방법인 G-SOCPA(Generic Second-Order Correlation Power Analysis)와 I-SOCPA(Integrated Second-Order Correlation Power Analysis)는 중간값으로 혼돈 계층(251)의 출력값인 S2(X1)
Figure 112018044517037-pat00002
S1(X0)를 사용할 수 있고, 혼돈 계층 출력값 로딩 또는 저장 부분(255)을 공격 포인트로 할 수 있다. 또한, G-SOCPA(Generic Second-Order Correlation Power Analysis)는 중간값으로 확산 계층(253)의 출력값인 Z1
Figure 112018044517037-pat00003
Z0를 사용할 수 있고, 확산 계층 출력값 로딩 부분(231)을 공격 포인트로 할 수 있다.
차분전력분석(Differential Power Analysis, DPA)은 단순전력분석과는 달리 더 많은 파형으로 수학적 매커니즘(mechanism)을 활용하여 민감한 값을 추출해 내는 분석법에 해당하고, 일반적으로 다음과 같이 5단계로 나눌 수 있다.
가) 1단계
민감한 값을 추출할 수 있는 중간 계산이 가능한 값을 선택한다. 상수가 아닌 알려진 값 d와 민감한 값으로 키의 일부분인 k를 선택하여 함수 f(d,k)를 택한다. 즉, d는 평문 또는 암호문이 될 수 있으며 f는 XOR 또는 S-Box 등이 될 수 있다. 예를 들어, f(d,k)=d
Figure 112018044517037-pat00004
k 또는 f(d,k)=S-box(d
Figure 112018044517037-pat00005
k) 등의 형태가 될 수 있다.
나) 2단계
랜덤한 데이터 D개 d=(d1, …, dD)를 이용하여 암호화 또는 복호화를 실행한다. 즉, i번째 암호화 또는 복호화에 쓰인 데이터는 di에 해당한다. (1≤i≤D). 이 때, di에 해당하는 암호화 또는 복호화 수행될 때 측정된 전력 소비량을 ti=(ti,1, …, ti,T)라 한다. (T: 파형 길이). 즉, 파형 행렬 T는 D×T 크기를 갖는다.
다) 3단계
이번 단계에서는 예상 가능한 중간값을 가능한 모든 키 후보군에 대하여 계산한다. 가능한 모든 키 후보군 벡터를 k=(k1, …, kK)라 하자. (K: 가능한 키 개수). 데이터 d와 키 후보 k로 손쉽게 중간값인 f(d,k)를 계산할 수 있다. 이와 같은 예상되는 중간값 행렬 V의 크기는 D×K이다. 행렬의 원소는 다음과 같다.
vi,j=f(di,kj) i=1, …, D j=1, …, K
행렬 V의 열 j는 키 후보 kj에 대한 중간값들이 된다. 옳은 키(Correct Key)에 대한 중간값 반드시 행렬 V의 열에 속해져 있으며, 이에 대한 표기를 kck로 한다.
라) 4단계
앞선 3단계에서 가능한 후보키를 설정하여 예상되는 중간값을 계산하였으므로 이에 대응되는 전력 소비값을 예측해야 한다. 즉, 예상되는 중간값 행렬 V를 예측되는 전력 소비값 행렬 H로 변환한다. 이는 장비를 분석하거나 알고리즘이 구현된 형태 등으로써 예측이 가능하나, 일반적으로 알고리즘이 소프트웨어로 구현된 경우는 해밍 웨이트 모델, 하드웨어로 구현된 경우는 해밍 디스턴스 모델을 선택한다.
마) 5단계
마지막은 민감한 값에 해당하는 키를 직접적으로 추출하는 방법이다. 2단계에서 실제 측정된 전력 소비값 행렬 T(D×T)와 예상되는 전력 소비값 행렬 H(D×K)와 수학적 매커니즘인 통계적 분석을 이용하여 비교한다. 즉, 행렬 H 각 열 hi는 행렬 T의 모든 열 tj와 비교된다. 이는 가능한 각각의 키에 대하여 예상되는 전력 소비값을 측정된 전력 파형의 모든 위치와 대조한다는 뜻이다. 따라서 비교 결과 값 행렬 R의 크기는 K×T가 되며, 원소 ri,j는 hi~tj(~: 관계성)를 의미한다. 옳은 키로 추측한 중간값 vck는 반드시 실제 측정된 전력 소비 행렬 T의 특정 열에 관계성을 갖는다. 이 열에 해당하는 인덱스는 ct라 하면 행렬 R의 관계성이 높은 값은 rck,ct이다.
상관전력분석(Correlation Power Analysis, CPA)은 차분전력분석에서의 4, 5단계에서 차이점을 보인다. 그 단계는 각각 다음과 같다.
Figure 112018044517037-pat00006
Figure 112018044517037-pat00007
수학적 통계자료로 활용되는 상관도를 이용하는 분석법으로 |ri,j|가 0에 가까울수록 상관도가 낮으므로 틀린 키로 간주되며, 1에 가까울수록 옳은 키로 간주된다.
1차 부울린 마스킹이 적용된 대응기법에 대하여 부채널 분석을 수행하기 위해서는 대부분 2차 상관전력분석이 사용된다. 이는 논리적으로 중간값으로 추측이 되는 두 지점에 대한 시점을 활용한다. 예를 들어, 논리적으로 추측 가능한 두 지점
Figure 112018044517037-pat00008
과 m을 연산하면,
Figure 112018044517037-pat00009
와 같다. (단, S: S-box, x: 평문 데이터, m: 마스킹 값)
이와 같은 두 지점의 전력 소비는 일반적으로 해밍 웨이트(Hamming-Weight, HW) 모델에 준하여 발생한다. 즉, 이 시점의 소비전력을 각각 t1, t2라 하면, t1=HW(S(x
Figure 112018044517037-pat00010
k)
Figure 112018044517037-pat00011
m), t2=HW(m)이다. 2차 상관전력분석은 이와 같은 가정을 기반으로 실제 전력 파형과 중간값의 논리적인 상관관계를 활용한다. 2차 상관전력분석에는 대부분 Absolute-Difference(AD) 또는 Product-Combining(PC) 이 사용된다. 예를 들어, PC는 다음 식과 같다. (단, E[X]은 확률 변수 X에 대한 기댓값에 해당한다.)
Figure 112018044517037-pat00012
상기 식의 좌변에서 소비전력 파형의 두 지점을 전처리하여 상관전력분석을 하는 것을 2차 상관전력분석이라 한다. 중간값 8비트를 기준으로 전력 소비가 해밍 웨이트를 준수한다면, 그 상관도는 최대 0.35이다.
도 3은 본 발명의 일 실시예에 따른 블록 암호 알고리즘의 안전성 검증 시스템을 설명하는 도면이다.
도 3을 참조하면, 블록 암호 알고리즘의 안전성 검증 시스템(이하, 안전성 검증 시스템이라 한다.)(300)은 암호 장치(310), 안전성 검증 장치(330) 및 데이터베이스(350)를 포함할 수 있다.
암호 장치(310)는 암호 알고리즘을 이용하여 암호화 연산을 수행하는 컴퓨팅 장치에 해당할 수 있고, 스마트폰, 노트북 또는 컴퓨터로 구현될 수 있으며, 반드시 이에 한정되지 않고, 스마트 IC 카드, 스마트 장치 및 임베디드 장비 등을 포함하는 다양한 디바이스로도 구현될 수 있다. 암호 장치(310)는 안전성 검증 장치(330)와 연결될 수 있고, 암호화 연산 과정에서 소비되는 전력 정보를 안전성 검증 장치(330)에 제공할 수 있다.
안전성 검증 장치(330)는 암호 장치(310)로부터 소비 전력을 수신하여 상관전력분석을 통해 비밀 키와 같은 민감한 값을 추정할 수 있는 컴퓨터 또는 프로그램에 해당하는 서버로 구현될 수 있다. 안전성 검증 장치(330)는 암호 장치(310)와 연결될 수 있고, 상관전력분석에 사용되는 소비전력 정보를 암호 장치(310)로부터 수신할 수 있다.
안전성 검증 장치(330)는 데이터베이스(350)를 포함하여 구현될 수 있고, 데이터베이스(350)와 독립적으로 구현될 수 있다. 데이터베이스(350)와 독립적으로 구현된 경우 안전성 검증 장치(330)는 데이터베이스(350)와 유선 또는 무선으로 연결되어 데이터를 주고 받을 수 있다.
데이터베이스(350)는 블록 암호 알고리즘의 안전성 검증을 위해 필요한 다양한 정보들을 저장하는 저장장치이다. 데이터베이스(350)는 암호 장치(310)로부터 수신한 소비전력 정보를 저장할 수 있고, 상관전력분석을 위해 사용되는 복수의 평문 데이터 및 복수의 후보 키에 관한 정보들을 저장할 수 있으며, 반드시 이에 한정되지 않고, 블록 암호 알고리즘의 안전성 검증과 관련하여 다양한 형태로 수집 또는 가공된 정보들을 저장할 수 있다.
데이터베이스(350)는 특정 범위에 속하는 정보들을 저장하는 적어도 하나의 독립된 서브-데이터베이스들로 구성될 수 있고, 적어도 하나의 독립된 서브-데이터베이스들이 하나로 통합된 통합 데이터베이스로 구성될 수 있다. 적어도 하나의 독립된 서브-데이터베이스들로 구성되는 경우에는 각각의 서브-데이터베이스들은 블루투스, WiFi 등을 통해 무선으로 연결될 수 있고, 네트워크를 통해 상호 간의 데이터를 주고 받을 수 있다. 데이터베이스(350)는 통합 데이터베이스로 구성되는 경우 각각의 서브-데이터베이스들을 하나로 통합하고 상호 간의 데이터 교환 및 제어 흐름을 관리하는 제어부를 포함할 수 있다.
도 4는 도 3에 있는 안전성 검증 장치를 설명하는 블록도이다.
안전성 검증 장치(330)는 소비전력 수신부(410), 소비전력 분석구간 검출부(430), 암호함수 중간값 추정부(450), 상관전력분석부(470) 및 제어부(490)를 포함할 수 있다.
소비전력 수신부(410)는 각각이 제1 및 제2 계층들로 구성된 복수의 암호 함수들을 포함하는 블록 암호 알고리즘의 암호화 과정에서의 소비전력을 수신할 수 있다. 소비전력은 암호 장치(310)에서 블록 암호 알고리즘을 통해 비밀 키와 연관된 민감한 값이 연산될 때, 계측되는 전력 소비량에 해당할 수 있다. 제1 계층은 혼돈 계층(Confusion Layer)에 해당할 수 있고, 제2 계층은 확산 계층(Diffusion Layer)에 해당할 수 있다. 소비전력 수신부(410)는 암호 장치(310)에서 데이터 값이 쓰이거나 특별한 연산이 일어날 때 전력을 측정할 수 있는 환경을 갖춘 다음, 암호 장치(310)의 전력 소비량을 측정하여 부채널 정보로 이용할 수 있다.
일 실시예에서, 소비전력 수신부(410)는 마스킹 대응기법 및 하이딩 대응기법이 적용된 블록 암호 알고리즘을 이용한 암호화 과정에서의 소비전력을 수신할 수 있다. 보다 구체적으로, 소비전력 수신부(410)는 암호화 과정 전체에 대하여 1차 마스킹 대응기법이 적용되고, 첫 라운드 및 마지막 라운드에 더미 연산 & 셔플링과 같은 하이딩 대응기법이 적용된 블록 암호 알고리즘의 암호화 연산 과정에서의 소비전력을 측정하여 수신할 수 있다.
소비전력 분석구간 검출부(430)는 소비전력 수신부(410)에 의해 수신된 소비전력을 분석하여 블록 암호 알고리즘에 있는 내부 암호 함수의 제1 계층의 종단 지점을 포함하는 소비전력 분석구간을 검출할 수 있다. 제1 계층의 종단 지점은 제1 계층의 출력값을 로딩 또는 저장하는 지점에 해당할 수 있다. 상관전력분석은 블록 암호 알고리즘의 특정 연산을 수행하는 부분을 타겟(target) 연산으로 지정하여 해당 부분에 대한 소비전력을 분석하는 단계를 포함할 수 있다. 따라서, 소비전력 분석구간 검출부(430)는 소비전력 파형에서 상관전력분석을 수행하려는 타켓 연산에 대한 구간을 분석구간으로서 검출한다.
예를 들어, 소비전력 분석구간 검출부(430)는 SEED 블록 암호 알고리즘에 대한 소비전력 파형에서 내부 암호 함수 중 하나인 G-함수의 혼돈 계층에서의 출력 부분을 포함하는 구간을 소비전력 분석구간으로서 검출할 수 있다. G-함수의 혼돈 계층의 출력값은 상관전력분석의 타켓이 되는 확산 계층의 출력값을 이론적으로 추정하기 위한 중간값의 일 구성요소로서 사용될 수 있다.
일 실시예에서, 소비전력 분석구간 검출부(430)는 제1 계층의 종단 지점부터 제2 계층의 출력을 로딩하는 지점까지의 구간을 소비전력 분석구간으로서 검출할 수 있다. 안전성 검증 장치(130)는 기존 부채널 분석 방법이 혼돈 계층의 출력값을 로딩 또는 저장하는 부분을 공격 포인트로 하는 것과 달리 확산 계층의 출력값을 로딩하는 부분을 공격 포인트로 할 수 있다.
예를 들어, SEED 블록 암호 알고리즘의 소비전력 파형에서 내부 암호 함수 중 하나인 G-함수의 혼돈 계층에서의 출력 부분부터 확산 계층에서의 출력을 로딩하는 부분까지의 구간을 소비전력 분석구간으로서 검출할 수 있다. 확산 계층에서의 출력을 로딩하는 부분은 첫 번째 G-함수의 출력이 두 번째 G-함수로 입력되기 전 단계에서 모듈러(mod) 덧셈 연산을 수행하기 위하여 첫 번째 G-함수의 출력을 로딩하는 부분에 해당할 수 있다.
암호함수 중간값 추정부(450)는 내부 암호 함수의 제2 계층의 출력을 구성하는 복수의 출력 블록들에서 샘플링된, 복수의 샘플링 블록들 간의 연산을 통해 내부 암호 함수의 출력에 해당하는 중간값을 추정할 수 있다. 예를 들어, 암호함수 중간값 추정부(450)는 SEED 블록 암호 알고리즘에 있어서 S-box 출력과 G-함수 출력의 상관관계를 이용하여 G-함수 출력의 여러 조합을 S-box 출력의 조합으로 표현할 수 있다.
일 실시예에서, 암호함수 중간값 추정부(450)는 제1 계층의 출력들로부터 제2 계층의 출력을 도출하여 복수의 출력 블록들 각각에 대한 도출식을 생성할 수 있다. 보다 구체적으로, 암호함수 중간값 추정부(450)는 SEED 블록 암호 알고리즘에 대하여 제1 계층에 해당하는 혼돈 계층의 출력값을 이용하여 제2 계층에 해당하는 확산 계층의 출력값을 도출할 수 있다.
암호함수 중간값 추정부(450)는 수학식
Figure 112018044517037-pat00013
을 이용하여 도출식을 생성할 수 있다. 수학식
Figure 112018044517037-pat00014
에 대한 증명은 다음과 같다.
증명) 아래의 표 1에 따르면, A
Figure 112018044517037-pat00015
B = (A ∨ B) ∧ (A ∧ B)c 이다.
(A ∧ B)
Figure 112018044517037-pat00016
(A ∧ C)
⇔ {(A ∧ B) ∨ (A ∧ C)} ∧ {(A ∧ B) ∧ (A ∧ C)}c
⇔ {(A ∧ (B ∨ C)} ∧ (A ∧ B ∧ C)c
⇔ {(A ∧ (B ∨ C)} ∧ {(A ∧ (B ∧ C)}c
⇔ {(A ∧ (B ∨ C)} ∧ {Ac ∨ (B ∧ C)c}
⇔ [{(A ∧ (B ∨ C)} ∧ Ac] ∨ [{A ∧ (B ∨ C)} ∧ (B ∧ C)c]
⇔ A ∧ (B ∨ C) ∧ (B ∧ C)c
⇔ A ∧ (B
Figure 112018044517037-pat00017
C)
A B
Figure 112018044517037-pat00018
 (A ∨ B) ∧ (A ∧ B)c
F F F F
F T T T
T F T T
T T F F
예를 들어, 암호함수 중간값 추정부(450)는 SEED 블록 암호 알고리즘의 확산 계층 입력값(혼돈 계층 출력값)을 Y3=S2(X3), Y2=S1(X2), Y1=S2(X1), Y0=S1(X0)로 정의한 경우, 확산 계층 출력값을 다음과 같이 도출할 수 있다.
Figure 112018044517037-pat00019
단, M0 = 0xFC, M1 = 0xF3, M2 = 0xCF, M3 = 0x3F 이다.
일 실시예에서, 암호함수 중간값 추정부(450)는 복수의 샘플링 블록들에 대한 도출식을 이용하여 복수의 샘플링 블록들 간의 연산식을 생성함으로써 중간값을 추정할 수 있다. 예를 들어, 암호함수 중간값 추정부(450)는 확산 계층 출력값인 Z0 내지 Z3에 대한 도출식을 이용하여 샘플링된 출력값인 Z0와 Z1 간의 연산식을 다음과 같이 생성할 수 있다.
Figure 112018044517037-pat00020
상관전력분석부(470)는 암호함수 중간값 추정부(450)에 의해 추정된 중간값을 기초로 소비전력 분석구간에 대한 상관전력분석을 수행할 수 있다. 예를 들어, 상관전력분석부(470)는 (
Figure 112018044517037-pat00021
)∧000011002 = (
Figure 112018044517037-pat00022
)∧000011002 = (
Figure 112018044517037-pat00023
)∧000011002 (단,
Figure 112018044517037-pat00024
)와 같이 암호함수 중간값 추정부(450)에 의해 추정된 중간값을 사용할 수 있다. 즉, 상관전력분석부(470)는 확산 계층의 출력값이 로딩되는 부분에서 중간값으로
Figure 112018044517037-pat00025
를 사용하는 대신 (
Figure 112018044517037-pat00026
)∧000011002를 사용함으로써 비밀키와 같은 민감한 값을 취득하기 위한 경우의 수를 줄일 수 있다.
일 실시예에서, 상관전력분석부(470)는 소비전력 분석구간에 있는 소비전력의 파형에서 선택된 복수의 선택지점들에 대해 전처리 함수를 이용하여 전처리된 소비전력을 산출할 수 있다. 여기에서, 전처리(Preprocessing)는 차분전력분석(DPA) 5단계 중 2단계의 수정 단계에 해당할 수 있다.
예를 들어, 상관전력분석부(470)는 혼돈 계층의 종단 시점부터 확산 계층의 출력을 로딩하는 시점까지의 구간에 있는 소비전력의 파형에서 동일한 마스킹이 사용된 복수의 선택지점들을 선택할 수 있고, 복수의 선택지점들에서의 소비전력을 전처리 함수를 이용하여 전처리함으로써 전처리된 소비전력을 산출할 수 있다. 상관전력분석부(470)는 선택지점의 수가 2인 경우 전처리 함수로서 선택지점 소비전력 간의 곱, 덧셈, 차, 덧셈의 거듭 제곱 및 절대값 차 등을 사용할 수 있다. 상관전력분석부(470)는 선택지점의 수가 3이상인 경우 전처리 함수로서 곱셈을 선택하여 사용할 수 있다.
일 실시예에서, 상관전력분석부(470)는 복수의 선택지점들에서의 예상 소비전력 및 전처리된 소비전력 간의 상관도를 산출함으로써 2차 상관전력분석을 수행할 수 있다. 상관전력분석부(470)는 전처리된 소비전력에 대응하는 복수의 선택지점들에서의 임시 중간값을 기초로 소비전력을 예상할 수 있다. 임시 중간값은 상관전력분석에 사용하는 중간값으로서 블록 암호 알고리즘이 수행되는 중간 과정에서의 임시적인 값에 해당할 수 있다. 임시 중간값은 특정 단계의 출력에 해당하고, 특정 단계의 다음 단계에서 입력으로 사용되는 값에 해당할 수 있다.
상관전력분석부(470)는 암호 장치(310)에서 입력으로 사용되는 평문 데이터와 민감한 값의 추정을 위해 사용되는 후보 키를 이용하여 전처리된 소비전력에 대응되는 동일한 복수의 선택지점들에서의 임시 중간값을 산출할 수 있다. 상관전력분석부(470)는 산출된 임시 중간값을 이용하여 해당 선택지점에서의 소비전력을 예상할 수 있다.
일 실시예에서, 상관전력분석부(470)는 복수의 선택지점들에서의 임시 중간값에 대해 해밍 웨이트(Hamming Weight) 또는 해밍 디스턴스(Hamming Distance)를 적용하여 예상 소비전력을 결정할 수 있다. 여기에서, 해밍 웨이트 또는 해밍 디스턴스는 임시 중간값에 따른 소비전력을 예측하기 위한 전력 소비 모델에 해당할 수 있다. 전력 소비 모델은 고려해야 하는 변수의 개수에 따라 일변량(Univariate) 전력 소비 모델, 다변량(Multivariate) 전력 소비 모델로 나눌 수 있다.
해밍 웨이트는 일변량 전력 소비 모델에 해당하고, 해밍 디스턴스는 다변량 전력 소비 모델에 해당할 수 있다. 해밍 디스턴스는 2가지 요소를 고려하는 전력 소비 모델로, 일반적으로 하드웨어로 알고리즘이 구현되었을 때 적용될 수 있다. 해밍 디스턴스는 하드웨어 전력 소비 패턴을 반영하여 레지스터에 저장된 데이터 상태 천이에 따라 전력 소비가 일어난다고 가정할 수 있다. 해밍 웨이트는 1가지 요소를 고려하는 전력 소비 모델로, 일반적으로 소프트웨어로 알고리즘이 구현되었을 때 적용될 수 있다. 해밍 웨이트는 데이터 값에 데이터 값 상태에 따라 전력 소비가 일어난다고 가정할 수 있다.
제어부(490)는 안전성 검증 장치(330)의 전체적인 동작을 제어하고, 소비전력 수신부(410), 소비전력 분석구간 검출부(430), 암호함수 중간값 추정부(450), 상관전력분석부(470) 간의 제어 흐름 또는 데이터 흐름을 관리할 수 있다.
도 5는 도 3에 있는 안전성 검증 장치에서 수행되는 안전성 검증 과정을 설명하는 순서도이다.
도 5를 참조하면, 안전성 검증 장치(330)는 소비전력 수신부(410)를 통해 복수의 계층들을 통해 평문을 암호화하는 블록 암호 알고리즘의 암호화 과정에서의 소비전력을 수신할 수 있다(단계 S510).
안전성 검증 장치(330)는 소비전력 분석구간 검출부(430)를 통해 소비전력을 분석하여 블록 암호 알고리즘에 있는 특정 암호 함수의 혼돈 계층의 종단 지점을 포함하는 소비전력 분석구간을 검출할 수 있다(단계 S530).
안전성 검증 장치(330)는 암호함수 중간값 추정부(450)를 통해 특정 암호 함수의 확산 계층의 출력을 구성하는 복수의 출력 블록들 중 일부를 샘플링하고 샘플링된 출력 블록 간의 연산을 통해 중간값을 추정할 수 있다(단계 S550). 안전성 검증 장치(330)는 상관전력분석부(470)를 통해 중간값을 기초로 소비전력 분석구간에 대한 상관전력분석을 수행할 수 있다(단계 S570).
도 6은 본 발명의 일 실시예에 따른 블록 암호 알고리즘의 안전성 검증 장치의 전체적인 동작을 설명하는 도면이다.
도 6을 참조하면, 안전성 검증 장치(330)는 블록 암호 알고리즘의 혼돈 계층의 출력값(Yi)으로 확산 계층의 출력값(Zi)을 도출하는 수식을 전개할 수 있다. 확산 계층의 출력값(Zi)을 도출하는 수식은
Figure 112018044517037-pat00027
이다. 여기에서, Yi, Zi는 l비트 문자열이고, αi는 l비트 상수이며, T는 대상 블록 암호 알고리즘의 내부 상태를 구성하는 l비트 블록의 수이다. 안전성 검증 장치(330)는 확산 계층의 출력값 중 2개를 선택할 수 있고, 선택된 출력값을 각각 Zi, Zj로 정의할 수 있다. 안전성 검증 장치(330)는 Zi
Figure 112018044517037-pat00028
Zj 수식을 다음과 같이 전개할 수 있다. 여기에서, βi,j는 l비트 상수이다.
Figure 112018044517037-pat00029
안전성 검증 장치(330)는 첫 번째 확산 계층 출력값 로딩 부분의 소비전력 파형을 수집할 수 있다. 안전성 검증 장치(330)는 중간값을 βm,n∧(Ym
Figure 112018044517037-pat00030
Yn)로 설정하고 수집한 소비전력 파형으로 G-SOCPA(Generic Second-Order Correlation Power Analysis)을 수행함으로써 비밀키를 획득할 수 있다.
상기에서는 본 발명의 바람직한 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
110: 하이딩 대응기법 130: 마스킹 대응기법
150: 첫 라운드 170: 마지막 라운드
210: SEED 블록 암호 알고리즘 230: F-함수
231: 확산 계층 출력값 로딩 부분
250: G-함수 251: 혼돈 계층
253: 확산 계층
255: 혼돈 계층 출력값 로딩 또는 저장 부분
300: 블록 암호 알고리즘의 안전성 검증 시스템
310: 암호 장치 330: 안전성 검증 장치
350: 데이터베이스
410: 소비전력 수신부 430: 소비전력 분석구간 검출부
450: 암호함수 중간값 추정부 470: 상관전력분석부
490: 제어부

Claims (12)

  1. 각각이 제1 및 제2 계층들로 구성된 복수의 암호 함수들을 포함하는 블록 암호 알고리즘의 암호화 과정에서의 소비전력을 수신하는 소비전력 수신부;
    상기 소비전력을 분석하여 상기 블록 암호 알고리즘에 있는 내부 암호 함수의 제1 계층의 종단 지점을 포함하는 소비전력 분석구간을 검출하는 소비전력 분석구간 검출부;
    상기 내부 암호 함수의 제2 계층의 출력을 구성하는 복수의 출력 블록들에서 샘플링된, 복수의 샘플링 블록들 간의 연산을 통해 상기 내부 암호 함수의 출력에 해당하는 중간값을 추정하는 암호함수 중간값 추정부; 및
    상기 중간값을 기초로 상기 소비전력 분석구간에 대한 상관전력분석을 수행하는 상관전력분석부를 포함하는 블록 암호 알고리즘의 안전성 검증 장치.
  2. 제1항에 있어서, 상기 소비전력 수신부는
    마스킹 대응기법 및 하이딩 대응기법이 적용된 상기 블록 암호 알고리즘을 이용한 암호화 과정에서의 소비전력을 수신하는 것을 특징으로 하는 블록 암호 알고리즘의 안전성 검증 장치.
  3. 제1항에 있어서, 상기 소비전력 분석구간 검출부는
    상기 제1 계층의 종단 지점부터 상기 제2 계층의 출력을 로딩하는 지점까지의 구간을 상기 소비전력 분석구간으로서 검출하는 것을 특징으로 하는 블록 암호 알고리즘의 안전성 검증 장치.
  4. 제1항에 있어서, 상기 암호함수 중간값 추정부는
    상기 제1 계층의 출력들로부터 상기 제2 계층의 출력을 도출하여 상기 복수의 출력 블록들 각각에 대한 도출식을 생성하는 것을 특징으로 하는 블록 암호 알고리즘의 안전성 검증 장치.
  5. 제4항에 있어서, 상기 암호함수 중간값 추정부는
    상기 복수의 샘플링 블록들에 대한 상기 도출식을 이용하여 상기 복수의 샘플링 불록들 간의 연산식을 생성함으로써 상기 중간값을 추정하는 것을 특징으로 하는 블록 암호 알고리즘의 안전성 검증 장치.
  6. 제1항에 있어서, 상기 상관전력분석부는
    상기 소비전력 분석구간에 있는 소비전력의 파형에서 선택된 복수의 선택지점들에 대해 전처리 함수를 이용하여 전처리된 소비전력을 산출하는 것을 특징으로 하는 블록 암호 알고리즘의 안전성 검증 장치.
  7. 제6항에 있어서, 상기 상관전력분석부는
    상기 복수의 선택지점들에서의 예상 소비전력 및 상기 전처리된 소비전력 간의 상관도를 산출함으로써 2차 상관전력분석을 수행하는 것을 특징으로 하는 블록 암호 알고리즘의 안전성 검증 장치.
  8. 제7항에 있어서, 상기 상관전력분석부는
    상기 복수의 선택지점들에서의 임시 중간값에 대해 해밍 웨이트(Hamming Weight) 또는 해밍 디스턴스(Hamming Distance)를 적용하여 상기 예상 소비전력을 결정하는 것을 특징으로 하는 블록 암호 알고리즘의 안전성 검증 장치.
  9. 블록 암호 알고리즘의 안전성 검증 장치에서 수행되는 안전성 검증 방법에 있어서,
    (a) 각각이 제1 및 제2 계층들로 구성된 복수의 암호 함수들을 포함하는 블록 암호 알고리즘의 암호화 과정에서의 소비전력을 수신하는 단계;
    (b) 상기 소비전력을 분석하여 상기 블록 암호 알고리즘에 있는 내부 암호 함수의 제1 계층의 종단 지점을 포함하는 소비전력 분석구간을 검출하는 단계;
    (c) 상기 내부 암호 함수의 제2 계층의 출력을 구성하는 복수의 출력 블록들에서 샘플링된, 복수의 샘플링 블록들 간의 연산을 통해 상기 내부 암호 함수의 출력에 해당하는 중간값을 추정하는 단계; 및
    (d) 상기 중간값을 기초로 상기 소비전력 분석구간에 대한 상관전력분석을 수행하는 단계를 포함하는 블록 암호 알고리즘의 안전성 검증 방법.
  10. 제9항에 있어서, 상기 (b) 단계는
    상기 제1 계층의 종단 지점부터 상기 제2 계층의 출력을 로딩하는 지점까지의 구간을 상기 소비전력 분석구간으로서 검출하는 단계인 것을 특징으로 하는 블록 암호 알고리즘의 안전성 검증 방법.
  11. 제9항에 있어서, 상기 (c) 단계는
    상기 제1 계층의 출력들로부터 상기 제2 계층의 출력을 도출하여 상기 복수의 출력 블록들 각각에 대한 도출식을 생성하는 단계인 것을 특징으로 하는 블록 암호 알고리즘의 안전성 검증 방법.
  12. 제11항에 있어서, 상기 (c) 단계는
    상기 복수의 샘플링 블록들에 대한 상기 도출식을 이용하여 상기 복수의 샘플링 불록들 간의 연산식을 생성함으로써 상기 중간값을 추정하는 단계인 것을 특징으로 하는 블록 암호 알고리즘의 안전성 검증 방법.

KR1020180051954A 2018-05-04 2018-05-04 블록 암호 알고리즘의 안전성 검증 장치 및 방법 KR101941886B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180051954A KR101941886B1 (ko) 2018-05-04 2018-05-04 블록 암호 알고리즘의 안전성 검증 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180051954A KR101941886B1 (ko) 2018-05-04 2018-05-04 블록 암호 알고리즘의 안전성 검증 장치 및 방법

Publications (1)

Publication Number Publication Date
KR101941886B1 true KR101941886B1 (ko) 2019-01-24

Family

ID=65277375

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180051954A KR101941886B1 (ko) 2018-05-04 2018-05-04 블록 암호 알고리즘의 안전성 검증 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101941886B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220075135A (ko) * 2020-11-27 2022-06-07 국방과학연구소 전력 분석 장치, 방법, 컴퓨터 판독 가능한 기록매체 및 컴퓨터 프로그램

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100855958B1 (ko) 2004-11-24 2008-09-02 삼성전자주식회사 해밍거리를 이용한 부가 채널 공격에 안전한 암호화시스템 및 방법
KR20090065273A (ko) * 2007-12-17 2009-06-22 한국전자통신연구원 2차 차분 전력분석 공격 방법 및 2차 차분 전자기분석 공격방법
KR20110060570A (ko) * 2009-11-30 2011-06-08 한국전자통신연구원 부채널 분석기의 분석 방법
KR101589185B1 (ko) * 2014-11-05 2016-01-28 국방과학연구소 중간값 평균기법을 이용한 부 채널 분석 성능 향상방법
KR20160114252A (ko) * 2015-03-23 2016-10-05 한국전자통신연구원 부채널 분석 연산 방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100855958B1 (ko) 2004-11-24 2008-09-02 삼성전자주식회사 해밍거리를 이용한 부가 채널 공격에 안전한 암호화시스템 및 방법
KR20090065273A (ko) * 2007-12-17 2009-06-22 한국전자통신연구원 2차 차분 전력분석 공격 방법 및 2차 차분 전자기분석 공격방법
KR20110060570A (ko) * 2009-11-30 2011-06-08 한국전자통신연구원 부채널 분석기의 분석 방법
KR101589185B1 (ko) * 2014-11-05 2016-01-28 국방과학연구소 중간값 평균기법을 이용한 부 채널 분석 성능 향상방법
KR20160114252A (ko) * 2015-03-23 2016-10-05 한국전자통신연구원 부채널 분석 연산 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220075135A (ko) * 2020-11-27 2022-06-07 국방과학연구소 전력 분석 장치, 방법, 컴퓨터 판독 가능한 기록매체 및 컴퓨터 프로그램
KR102444276B1 (ko) 2020-11-27 2022-09-20 국방과학연구소 전력 분석 장치, 방법, 컴퓨터 판독 가능한 기록매체 및 컴퓨터 프로그램

Similar Documents

Publication Publication Date Title
Batina et al. Mutual information analysis: a comprehensive study
KR100891323B1 (ko) 이진 필드 ecc에서 랜덤 포인트 표현을 이용하여 파워해독의 복잡도를 증가시키기 위한 암호화 방법 및 장치
CN106664204B (zh) 差分功率分析对策
CN108604981B (zh) 用于估计秘密值的方法和设备
Dabosville et al. A new second-order side channel attack based on linear regression
CN103825722B (zh) 一种sm4密码算法的二阶侧信道能量分析方法
Wen et al. Multidimensional zero-correlation attacks on lightweight block cipher HIGHT: improved cryptanalysis of an ISO standard
CN110401627B (zh) 一种适用于分组密码算法感染防护的抗差分故障攻击安全性评估方法和系统
Cheng et al. Optimizing inner product masking scheme by a coding theory approach
WO2016083864A1 (en) Methods for recovering secret data of a cryptographic device and for evaluating the security of such a device
Korkikian et al. Blind fault attack against SPN ciphers
CN112653546A (zh) 一种基于功耗分析的故障攻击检测方法
KR101941886B1 (ko) 블록 암호 알고리즘의 안전성 검증 장치 및 방법
Rajput et al. A novel image encryption and authentication scheme using chaotic maps
Zhao et al. Efficient Hamming weight-based side-channel cube attacks on PRESENT
Budaghyan et al. Verification of restricted EA-equivalence for vectorial boolean functions
Ming et al. Revealing the weakness of addition chain based masked SBox implementations
CN110601818A (zh) 一种检测sms4密码算法抵御统计故障攻击的方法
Pammu et al. Success rate model for fully AES-128 in correlation power analysis
JP5979750B2 (ja) サイドチャネル評価装置及びサイドチャネル評価方法
Chen et al. Normalized Differential Power Analysis-for Ghost Peaks Mitigation
KR101876498B1 (ko) 마스킹 대응책을 무력화하는 암호 해독 장치 및 방법, 이를 기록한 기록매체
CN112468283A (zh) 一种检测iFeed[AES]算法抵御差分故障攻击的方法
Aljuffri et al. Balanced Dual-Mask Protection Scheme for GIFT Cipher Against Power Attacks
Kim et al. New Type of Collision Attack on First‐Order Masked AESs

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant