KR102312379B1 - Lac에 대한 부채널 분석 장치 및 방법 - Google Patents

Lac에 대한 부채널 분석 장치 및 방법 Download PDF

Info

Publication number
KR102312379B1
KR102312379B1 KR1020200132527A KR20200132527A KR102312379B1 KR 102312379 B1 KR102312379 B1 KR 102312379B1 KR 1020200132527 A KR1020200132527 A KR 1020200132527A KR 20200132527 A KR20200132527 A KR 20200132527A KR 102312379 B1 KR102312379 B1 KR 102312379B1
Authority
KR
South Korea
Prior art keywords
target
code
secret message
lac
cluster
Prior art date
Application number
KR1020200132527A
Other languages
English (en)
Inventor
한동국
김일주
심보연
이태호
한재승
Original Assignee
국민대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국민대학교 산학협력단 filed Critical 국민대학교 산학협력단
Priority to KR1020200132527A priority Critical patent/KR102312379B1/ko
Application granted granted Critical
Publication of KR102312379B1 publication Critical patent/KR102312379B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • H04L9/003Countermeasures against attacks on cryptographic mechanisms for power analysis, e.g. differential power analysis [DPA] or simple power analysis [SPA]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3093Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving Lattices or polynomial equations, e.g. NTRU scheme
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/26Testing cryptographic entity, e.g. testing integrity of encryption key or encryption algorithm
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/34Encoding or coding, e.g. Huffman coding or error correction

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Algebra (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

LAC에 기반하여 암호화된 n(n은 1 이상의 정수) 개의 타깃 코드 - 상기 타깃 코드는 상기 LAC에 포함되는 L 비트의 비밀 메시지와 오류 정정 코드가 연접된 코드임 -의 인코딩 연산 각각에 연관되는 n 개의 전력 파형 그래프를 획득하는 단계, 상기 획득된 n 개의 전력 파형 그래프를 이용하여 타깃 전력 파형 그래프 내에서 타깃 코드에 포함되는 타깃 비밀 메시지의 각 비트 mi (i는 0 이상 L-1 이하의 정수)에 대한 관심 영역 구간 pi를 선택하는 단계, 각각의 관심 영역 구간 pi에 포함되는 타깃 전력 파형 그래프의 적어도 일부를 타깃 비밀 메시지의 각 비트 mi 값에 따라 군집화하는 단계 및 상기 군집화 결과를 이용하여 상기 타깃 비밀 메시지를 추출하는 단계를 포함하는 LAC에 대한 부채널 분석 방법이 제공된다.

Description

LAC에 대한 부채널 분석 장치 및 방법{SIDE-CHANNEL ANALYSIS APPARATUS AND METHOD FOR LATTICE-BASED CRYPTOGRAPHY}
아래 실시 예들은 격자 기반 비밀키 교환체계 LAC(lattice-based cryptography)에 대한 부채널 분석 장치 및 방법에 관한 것으로서, 단일 파형 부채널 분석만을 이용하여 두 사용자간 암호 통신을 위해 교환하는 비밀키를 도출하는 장치 및 방법에 관한 것이다.
대칭키 암호 알고리즘에 기반하여 두 사용자간 안전한 암호 통신을 구현하기 위해서는 사전에 두 사용자간 비밀키를 공유해야 한다. 위와 같은 암호 통신을 위해 공개키 암호 알고리즘 기반 비밀키 교환체계(KEM: key encapsulation mechanism)가 많이 사용되고 있다. 그러나 현재 널리 사용되고 있는 공개키 암호 체계들의 안전성의 기반이 되는 큰 정수의 소인수분해, 이산 대수 문제 등과 같은 수학적 난제들을 다항시간 내에 풀 수 있는 양자 알고리즘이 Shor에 의해 제시되었다. 또한, 양자 컴퓨터와 관련된 기술들도 급속도로 발전하면서 새로운 수학적 난제를 기반으로 하는 공개키 암호 체계의 개발이 요구되고 있다. 이에 따라, 양자 내성 암호(PQC: post quantum cryptography) 알고리즘이라고 불리우는 격자, 다변수 다항식, 부호, 해시, 아이소제니 등을 기반으로 하는 다양한 암호 알고리즘이 연구되고 있다.
한국등록특허 제10-0723863호(2007.05.25)
적어도 하나의 실시 예에 따르면, LAC의 캡슐화 과정 중 메시지 인코딩 연산을 공격 대상으로 하여 비밀 메시지를 단일 파형 분석에 기반하여 복구하는 방법을 제공하는 것을 목적으로 한다.
일 측면에 따르면, LAC(lattice-based cryptography)에 대한 부채널 분석 장치가 제공된다. 상기 부채널 분석 장치는 적어도 하나의 프로세서를 포함하고, 상기 적어도 하나의 프로세서는 부채널 분석에 관한 이하의 동작들을 수행하도록 하며, 상기 동작은: (a) 상기 LAC에 기반하여 암호화된 n(n은 1 이상의 정수) 개의 타깃 코드 - 상기 타깃 코드는 상기 LAC에 포함되는 L 비트의 비밀 메시지와 오류 정정 코드가 연접된 코드임 -의 인코딩 연산 각각에 연관되는 n 개의 전력 파형 그래프를 획득하는 단계, (b) 상기 획득된 n 개의 전력 파형 그래프를 이용하여 타깃 전력 파형 그래프 내에서 타깃 코드에 포함되는 타깃 비밀 메시지의 각 비트 mi (i는 0 이상 L-1 이하의 정수)에 대한 관심 영역 구간 pi를 선택하는 단계, (c) 각각의 관심 영역 구간 pi에 포함되는 타깃 전력 파형 그래프의 적어도 일부를 타깃 비밀 메시지의 각 비트 mi 값에 따라 군집화하는 단계 및 (d) 상기 군집화 결과를 이용하여 상기 타깃 비밀 메시지를 추출하는 단계를 포함할 수 있다.
일 실시 예에 따르면, 상기 n 개의 전력 파형 그래프 각각은 미리 설정된 비밀 메시지 mknown와 오류 정정 코드가 연접된 타깃 코드 p_code에 대해 상기 타깃 코드 p_code의 [i/8] 번째 바이트를 소정 횟수만큼 시프트 연산을 수행하고, 시프트 연산된 제1 결과값과 1 사이의 & 연산이 수행된 제2 결과값을 소정의 상수와 곱하는 연산을 수행하는 장치의 전력 파형 그래프를 포함할 수 있다.
다른 일 실시 예에 따르면, 상기 제1 결과값은 상기 타깃 코드 p_code의 [i/8] 번째 바이트를 i를 8로 나눈 나머지 값만큼 시프트 연산함으로써 출력될 수 있다.
또 다른 일 실시 예에 따르면, 상기 (b) 단계는 상기 n 개의 전력 파형 그래프에 포함되는 각각의 시간 구간을 상기 미리 설정된 비밀 메시지 mknown의 각 비트 값에 따라 제1 군집 G1과 제2 군집 G2로 분류하는 단계, 상기 제1 군집 G1및 상기 제2 군집 G2에 포함되는 각각의 시간 구간의 전력값을 이용하여 비교 파라미터를 계산하는 단계 및 상기 비교 파라미터가 극대값이 되는 L(L은 1 이상의 자연수)개의 포인트 위치를 이용하여 상기 타깃 전력 파형 그래프 내에서 L 개의 관심 영역 구간 pi을 선택하는 단계를 포함할 수 있다.
또 다른 일 실시 예에 따르면, 상기 비교 파라미터를 계산하는 단계는 수학식 2에 기반하여 SOST(sum of squared pairwise t-differences) 값을 계산하는 단계를 포함하고, 상기 수학식 2는
Figure 112020108394641-pat00001
이고, E(G1)은 상기 제1 군집 G1에 포함되는 시간 구간의 평균 전력을 나타내고, σ(G1)은 상기 제1 군집 G1에 포함되는 시간 구간 각각의 평균 전력의 표준 편차를 나타내고, n(G1)은 상기 제1 군집 G1에 포함되는 시간 구간의 개수를 나타내고, E(G2)은 상기 제2 군집 G2에 포함되는 시간 구간의 평균 전력을 나타내고, σ(G2)은 상기 제2 군집 G2에 포함되는 시간 구간 각각의 평균 전력의 표준 편차를 나타내고, n(G2)은 상기 제2 군집 G2에 포함되는 시간 구간의 개수를 나타낼 수 있다.
또 다른 일 실시 예에 따르면, 상기 (c) 단계는 상기 각각의 관심 영역 구간 pi을 두 개의 군집으로 임의적으로 분류하는 단계, 상기 두 개의 군집의 평균 전력에 기초하여 상기 각각의 관심 영역 구간 pi을 상기 두 개의 군집 중 하나로 재할당하는 단계, 상기 재할당된 두 개의 군집에 대한 평균 전력을 다시 계산하는 단계 및 상기 계산된 두 개의 군집의 평균 전력에 기반하여 상기 각각의 관심 영역 구간 pi에 대한 재할당의 반복 여부를 결정하는 단계를 포함할 수 있다.
또 다른 일 실시 예에 따르면, 상기 두 개의 군집은 상기 각각의 관심 영역 구간 pi에 연관되는 타깃 비밀 메시지의 각 비트 mi 값이 0이 되는 제1 군집 및 상기 각각의 관심 영역 구간 pi에 연관되는 타깃 비밀 메시지의 각 비트 mi 값이 1이 되는 제2 군집을 포함할 수 있다.
또 다른 일 실시 예에 따르면, 상기 (d) 단계는 상기 각각의 관심 영역 구간 pi에 대응하는 인덱스 i를 이용하여 상기 타깃 비밀 메시지의 각 비트 mi를 포함하는 상기 타깃 비밀 메시지를 추출하는 단계를 포함할 수 있다.
다른 일 측면에 따르면, LAC(lattice-based cryptography)에 대한 부채널 분석 방법이 제공된다. 상기 부채널 분석 방법은 (a) LAC에 기반하여 암호화된 n(n은 1 이상의 정수) 개의 타깃 코드 - 상기 타깃 코드는 상기 LAC에 포함되는 L 비트의 비밀 메시지와 오류 정정 코드가 연접된 코드임 -의 인코딩 연산 각각에 연관되는 n 개의 전력 파형 그래프를 획득하는 단계, (b) 상기 획득된 n 개의 전력 파형 그래프를 이용하여 타깃 전력 파형 그래프 내에서 타깃 코드에 포함되는 타깃 비밀 메시지의 각 비트 mi (i는 0 이상 L-1 이하의 정수)에 대한 관심 영역 구간 pi를 선택하는 단계, (c) 각각의 관심 영역 구간 pi에 포함되는 타깃 전력 파형 그래프의 적어도 일부를 타깃 비밀 메시지의 각 비트 mi 값에 따라 군집화하는 단계 및 (d) 상기 군집화 결과를 이용하여 상기 타깃 비밀 메시지를 추출하는 단계를 포함할 수 있다.
또 다른 일 측면에 따르면, 컴퓨터 판독가능 저장 매체에 저장된 컴퓨터 프로그램이 제공된다. 상기 컴퓨터 프로그램은 하나 이상의 프로세서에서 실행되는 경우, LAC에 대한 부채널 분석을 수행하기 위한 이하의 동작들을 수행하도록 하며, 상기 동작은 (a) 상기 LAC에 기반하여 암호화된 n(n은 1 이상의 정수) 개의 타깃 코드 - 상기 타깃 코드는 상기 LAC에 포함되는 L 비트의 비밀 메시지와 오류 정정 코드가 연접된 코드임 -의 인코딩 연산 각각에 연관되는 n 개의 전력 파형 그래프를 획득하는 단계, (b) 상기 획득된 n 개의 전력 파형 그래프를 이용하여 타깃 전력 파형 그래프 내에서 타깃 코드에 포함되는 타깃 비밀 메시지의 각 비트 mi (i는 0 이상 L-1 이하의 정수)에 대한 관심 영역 구간 pi를 선택하는 단계, (c) 각각의 관심 영역 구간 pi에 포함되는 타깃 전력 파형 그래프의 적어도 일부를 타깃 비밀 메시지의 각 비트 mi 값에 따라 군집화하는 단계 및 (d) 상기 군집화 결과를 이용하여 상기 타깃 비밀 메시지를 추출하는 단계를 포함할 수 있다.
본 개시서의 실시 예에 따른 부채널 분석 장치 및 방법은 단일 전력 파형만으로 복구한 임의의 비밀 메시지와 공개된 정보를 이용하여 두 사용자간 공유된 비밀키를 획득할 수 있다. 이에 따라, 두 사용자가 비밀키로써 암호화하여 전송하는 모든 메시지를 도청하는 것이 가능하다.
또한, 본 개시서를 통해 제안하는 부채널 분석 방법에 대한 취약성 검증이 추가 연구될 수 있다. 이에 기반하여 비대면 인증, 금융 스마트카드, 전자 ID 카드 등을 포함하고 있는 스마트 TV, 스마트 냉장고, 스마트 카 등과 같은 다양한 사물인터넷 서비스의 보안 수준이 향상될 수 있다.
본 발명의 실시 예의 설명에 이용되기 위하여 첨부된 아래 도면들은 본 발명의 실시 예들 중 단지 일부일 뿐이며, 본 발명의 기술분야에서 통상의 지식을 가진 사람(이하 "통상의 기술자"라 함)에게 있어서는 발명에 이르는 추가 노력 없이 이 도면들에 기초하여 다른 도면들이 얻어질 수 있다.
도 1은 일 실시 예에 따른 LAC에 대한 부채널 분석 방법을 설명하는 흐름도이다.
도 2는 일 실시 예에 따른 LAC에 대한 부채널 분석 장치를 도시하는 블록도이다.
도 3은 LAC 암호를 인코딩하는 장치의 전력 파형 그래프를 나타낸다.
도 4는 도 3의 전력 파형 그래프로부터 비밀 메시지의 각 비트 값에 대응하는 SOST가 도출된 그래프를 나타낸다.
도 5는 도 3에 따른 최적화 수준에서의 두 개의 군집 사이의 소비 전력 차이를 나타내는 그래프이다.
후술하는 본 발명에 대한 상세한 설명은, 본 발명의 목적들, 기술적 해법들 및 장점들을 분명하게 하기 위하여 본 발명이 실시될 수 있는 특정 실시 예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시 예는 통상의 기술자가 본 발명을 실시할 수 있도록 상세히 설명된다.
본 발명의 상세한 설명 및 청구항들에 걸쳐, '포함하다'라는 단어 및 그 변형은 다른 기술적 특징들, 부가물들, 구성요소들 또는 단계들을 제외하는 것으로 의도된 것이 아니다. 또한, '하나' 또는 '한'은 하나 이상의 의미로 쓰인 것이며, '또 다른'은 적어도 두 번째 이상으로 한정된다.
또한, 본 발명의 '제1', '제2' 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위한 것으로서, 순서를 나타내는 것으로 이해되지 않는 한 이들 용어들에 의하여 권리범위가 한정되어서는 아니 된다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 이와 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다고 언급된 때에는 그 다른 구성요소에 직접 연결될 수도 있지만 중간에 다른 구성요소가 개재할 수도 있다고 이해되어야 할 것이다. 반면에 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다고 언급된 때에는 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 한편, 구성요소들 간의 관계를 설명하는 다른 표현들, 즉, "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.
각 단계들에 있어서 식별부호(예를 들어, a, b, c 등)는 설명의 편의를 위하여 사용된 것으로 식별부호는 논리상 필연적으로 귀결되지 않는 한 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 명기된 순서와 다르게 일어날 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며, 반대의 순서로 수행될 수도 있다.
통상의 기술자에게 본 발명의 다른 목적들, 장점들 및 특성들이 일부는 본 설명서로부터, 그리고 일부는 본 발명의 실시로부터 드러날 것이다. 아래의 예시 및 도면은 실례로서 제공되며, 본 발명을 한정하는 것으로 의도된 것이 아니다. 따라서, 특정 구조나 기능에 관하여 본 명세서에 개시된 상세 사항들은 한정하는 의미로 해석되어서는 아니되고, 단지 통상의 기술자가 실질적으로 적합한 임의의 상세 구조들로써 본 발명을 다양하게 실시하도록 지침을 제공하는 대표적인 기초 자료로 해석되어야 할 것이다.
더욱이 본 발명은 본 명세서에 표시된 실시 예들의 모든 가능한 조합들을 망라한다. 본 발명의 다양한 실시 예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시 예에 관련하여 본 발명의 사상 및 범위를 벗어나지 않으면서 다른 실시 예로 구현될 수 있다. 또한, 각각의 개시된 실시 예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 사상 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.
본 명세서에서 달리 표시되거나 분명히 문맥에 모순되지 않는 한, 단수로 지칭된 항목은, 그 문맥에서 달리 요구되지 않는 한, 복수의 것을 아우른다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.
이하, 통상의 기술자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시 예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.
도 1은 일 실시 예에 따른 LAC에 대한 부채널 분석 방법을 설명하는 흐름도이다. 도 1을 참조하면, 부채널 분석 장치에 의해 수행되는 격자 기반 KEM(key encapsulation mechanism) LAC(lattice-based cryptography)에 대한 부채널 분석 방법(100)이 도시된다. LAC은 양자 내성 암호 중 RLWE 문제를 기반으로 하는 격자 기반 KEM이며, 안전 수준에 따라 아래 표 1과 같은 세 가지 버전이 존재한다.
Version 128 192 256
Security Level 1 3 5
n 512 1024 1024
q 251 251 251
h 256 256 512
η 1 1/2 1
Fail probability 2-116 2-143 2-122
Secret key size 512 1024 1024
Public key size 544 1056 1056
Ciphertext size 712 1188 1424
L (length of secret message) 256
구체적으로, LAC KEM은 256 비트의 비밀 메시지 m을 이용하여 정당한 사용자 간의 비밀키를 생성하고 공유하는 알고리즘이다. LAC는 작은 소수인 251을 사용하여 효율성을 높였고, BCH(Bose-Chaudhuri-Hocquenghem) 코드 기반의 오류 정정 코드(ECC: error correcting code)를 사용함으로써 복호화 실패율을 조정한다.
단계(110)에서 부채널 분석 장치는 LAC에 기반하여 암호화된 n(n은 1 이상의 정수) 개의 타깃 코드의 인코딩 연산 각각에 연관되는 n 개의 전력 파형 그래프를 획득할 수 있다. 구체적으로, n 개의 전력 파형 그래프는 n 개의 타깃 코드 p_code에 대한 인코딩 연산으로부터 획득되는 n 개의 서로 다른 전력 파형 그래프를 나타낸다. 타깃 코드 p_code는 미리 설정된 L(L은 1 이상의 자연수, 예를 들면 256) 비트의 비밀 메시지 mknown과 오류 정정 코드가 연접된 코드를 나타낼 수 있다. 이하에서 추가되는 도면과 함께 타깃 코드 p_code가 부채널 분석 장치의 공격 대상이 되는 기술적 원리가 서술된다.
단계(120)에서 부채널 분석 장치는 타깃 전력 파형 그래프 내에서 타깃 코드 p_code에 포함되는 타깃 비밀 메시지의 각 비트 mi(i는 0 이상 L-1 이하의 정수)에 대한 관심 영역 구간 pi를 선택할 수 있다. 단계(130)에서 부채널 분석 장치는 각각의 관심 영역 구간 pi에 포함되는 타깃 전력 파형 그래프의 적어도 일부를 타깃 비밀 메시지의 각 비트 mi 값에 따라 군집화할 수 있다. 또한, 단계(140)에서 부채널 분석 장치는 단계(130)에서의 군집화 결과를 이용하여 타깃 비밀 메시지를 추출할 수 있다.
도 2는 일 실시 예에 따른 LAC에 대한 부채널 분석 장치를 도시하는 블록도이다. LAC에 대한 부채널 분석 장치(200)는 적어도 하나의 프로세서(미도시)를 포함할 수 있다. 구체적으로, 부채널 분석 장치(200)는 전형적인 컴퓨터 하드웨어(예컨대, 컴퓨터 프로세서, 메모리, 스토리지, 입력 장치 및 출력 장치, 기타 기존의 연산 장치의 구성요소들을 포함할 수 있는 장치; 라우터, 스위치 등과 같은 전자 통신 장치; 네트워크 부착 스토리지(NAS; network-attached storage) 및 스토리지 영역 네트워크(SAN; storage area network)와 같은 전자 정보 스토리지 시스템)와 컴퓨터 소프트웨어(즉, 연산 장치로 하여금 특정의 방식으로 기능하게 하는 명령어들)의 조합을 이용하여 원하는 시스템 성능을 달성하는 것일 수 있다.
LAC에 대한 부채널 분석 장치(200)에 포함되는 적어도 하나의 프로세서는 관심 영역 선택부(210), 클러스터링부(220) 및 추출부(230)를 구현할 수 있다. 상기 프로세서는 MPU(micro processing unit), CPU(central processing unit), GPU(graphics processing unit), NPU(neural processing unit) 또는 TPU(tensor processing unit), 캐시 메모리(cache memory), 데이터 버스(data bus) 등의 하드웨어 구성을 포함할 수 있다. 또한, 범용 컴퓨팅 장치인 경우 운영체제, 특정 목적을 수행하는 애플리케이션의 소프트웨어 구성을 더 포함할 수도 있다.
LAC에 대한 부채널 분석 장치(200)가 단일 파형을 분석하는 위치는 타깃 코드 p_code의 각 비트 값의 연산 결과가 소정의 상수 RATIO에 곱셈 되는 위치이다. 구체적으로, 타깃 코드 p_code[i]는 아래의 수학식 1과 같이 인코딩 연산 내에서 정의된다.
Figure 112020108394641-pat00002
상기 수학식 1과 같이, 타깃 코드 p_code[i]는 LAC의 비밀 메시지 m과 오류 정정 코드 ECC가 연접되는 코드를 나타낸다. 상기 수학식 1에서 i는 0 이상, c2_len - 1 이하인 자연수이다. c2_len는 비밀 메시지 m과 오류 정정 코드의 총 비트 길이를 나타내며, 비밀 메시지의 L 비트와 오류 정정 코드의 비트 수인 ECC_LEN(ECC_LEN은 1 이상의 자연수)의 합으로 정의될 수 있다. 타깃 코드 p_code[i]에는 비밀 메시지 m과 오류 정정 코드 ECC가 연접되므로, 타깃 코드 p_code[i]의 첫 번째 비트로부터 L 번째 비트까지는 비밀 메시지 m의 각 비트 값 mi가 배치된다.
LAC의 인코딩 연산 내에서는 p_code[i/8]을 이용한 아래의 수학식 2와 같은 중간값 e2[i]을 출력하는 과정이 존재한다.
Figure 112020108394641-pat00003
상기 수학식 2와 같이, LAC의 인코딩 연산 내에는 타깃 코드 p_code의 [i/8] 번째 바이트를 i를 8로 나눈 나머지 값만큼 시프트 연산하여 제1 결과값을 출력하는 연산이 포함된다. 또한, LAC의 인코딩 연산 내에서는 상기 제1 결과값과 1 사이의 & 연산이 수행된 제2 결과값을 소정의 상수 RATIO와 곱하는 연산이 포함될 수 있다. 예시적으로, 그러나 한정되지 않게 RATIO는 125일 수 있다.
부채널 분석 장치(200)의 공격 대상은 소프트웨어로 구현된 메시지 인코딩 알고리즘이다. 이 경우에, 부채널 분석 장치(200)는 전력 소비 모델이 해밍 웨이트(HW: hamming weight) 정보에 의존한다는 전제 조건을 이용하다. 예시적으로, 메시지 인코딩 알고리즘의 중간 값이 x라면, 해당 알고리즘이 소비하는 전력량 P는 아래의 수학식 3과 같이 정의된다.
Figure 112020108394641-pat00004
상기 수학식 3에서 ε은 상수, Pnoise는 노이즈 전력을 나타낼 수 있다. 즉, 수학식 3과 같이 메시지 인코딩 알고리즘의 중간 값의 해밍 웨이트 값과 소비전력을 선형성을 나타낼 수 있다. 따라서, p_code[i]=0이 경우에 중간값 e2[i]에 더해지는 값인 RATIO*((p_code[i/8]>> (i%8)) & 1)의 해밍 웨이트 값은 0이고, p_code[i]=1인 경우에, RATIO*((p_code[i/8]>> (i%8)) & 1)의 해밍 웨이트 값은 6이다. 이에 따라, 해밍 웨이트 전력 소비 모델의 차이를 분석함으로써 p_code[i]가 0 인지 1 인지 분석할 수 있는 것이다.
공격 위치에 따라 부채널 분석 성능에는 상당한 차이가 발생할 것이다. 따라서, 특정 관심 영역(PoI: point of interests)를 선택하는 것이 중요하다. 즉, 관심 영역 선택부(210)는 RATIO*((p_code[i/8]>> (i%8)) & 1)에 대한 중간값이 반환되는 지점을 타깃 전력 파형 그래프 내에서 선택해야한다.
관심 영역 선택부(210)는 LAC에 기반하여 암호화된 n(n은 1 이상의 정수) 개의 타깃 코드 - 상기 타깃 코드는 상기 LAC에 포함되는 L 비트의 비밀 메시지와 오류 정정 코드가 연접된 코드임 -의 인코딩 연산 각각에 연관되는 n 개의 전력 파형 그래프를 획득할 수 있다. 상기 n 개의 전력 파형 그래프 각각은, 미리 설정된 비밀 메시지 mknown와 오류 정정 코드가 연접된 타깃 코드 p_code에 대해 상기 타깃 코드 p_code의 [i/8] 번째 바이트를 소정 횟수만큼 시프트 연산을 수행하고, 시프트 연산된 제1 결과값과 1 사이의 & 연산이 수행된 제2 결과값을 소정의 상수와 곱하는 연산을 수행하는 장치의 전력 파형 그래프를 나타낸다.
미리 설정된 비밀 메시지 mknown는 실험적으로 설정되는 임의의 값이며, 정답을 미리 알고 있는 LAC의 비밀 메시지에 대한 인코딩 연산에서의 전력 파형을 수집하기 위해 정해지는 값이다. 본 실시 예에 따른 부채널 분석 장치는 비밀 메시지의 각 비트 mi가 1 인 경우와 0 인 경우 각각에 대해 메시지 인코딩 연산에서 방출되는 전력 파형의 특성을 비교함으로써, 분석 대상이 되는 타깃 전력 파형 그래프에서도 비밀 메시지를 도출할 수 있다.
관심 영역 선택부(210)는 획득된 n 개의 전력 파형 그래프를 이용하여 타깃 전력 파형 그래프에서 타깃 비밀 메시지의 각 비트 mi (i는 0 이상의 정수)에 대한 관심 영역 구간 pi를 선택할 수 있다.
구체적으로, 관심 영역 선택부(210)는 비밀 메시지 m의 정답을 각각 알고 있는 n 개의 전력 파형 그래프에 포함되는 각각의 시간 구간을 상기 미리 설정된 비밀 메시지 mknown의 각 비트 값에 따라 제1 군집 G1과 제2 군집 G2로 분류할 수 있다. 구체적으로, 제1 군집 G1은 각각의 시간 구간에서 인코딩 연산되는 비밀 메시지 mknown의 각 비트 값이 0인 군집을 나타내고, 제2 군집 G2은 각각의 시간 구간에서 인코딩 연산되는 비밀 메시지 mknown의 각 비트 값이 1인 군집을 나타낼 수 있다.
관심 영역 선택부(210)는 제1 군집 G1및 상기 제2 군집 G2에 포함되는 각각의 시간 구간의 전력값을 이용하여 비교 파라미터를 계산할 수 있다. 구체적으로, 관심 영역 선택부(210)는 수학식 4에 기반하여 SOST(sum of squared pairwise t-differences) 값을 계산할 수 있다.
Figure 112020108394641-pat00005
상기 수학식 2에서, E(G1)은 상기 제1 군집 G1에 포함되는 시간 구간의 평균 전력을 나타내고, σ(G1)은 상기 제1 군집 G1에 포함되는 시간 구간 각각의 평균 전력의 표준 편차를 나타내고, n(G1)은 상기 제1 군집 G1에 포함되는 시간 구간의 개수를 나타내고, E(G2)은 상기 제2 군집 G2에 포함되는 시간 구간의 평균 전력을 나타내고, σ(G2)은 상기 제2 군집 G2에 포함되는 시간 구간 각각의 평균 전력의 표준 편차를 나타내고, n(G2)은 상기 제2 군집 G2에 포함되는 시간 구간의 개수를 나타낼 수 있다. 이하에서 관심 영역 선택부(210)의 동작이 도 3 및 도 4와 함께 상세히 설명된다.
도 3은 LAC 암호를 인코딩하는 장치의 전력 파형 그래프를 나타낸다. 도 3을 참조하면, 예시적으로 32비트 ARM Cortex-M4 프로세서를 탑재한 ChipWhisper UFO STM32F3 보드에서 LAC 비밀 메시지의 인코딩 알고리즘이 수행되는 과정에서 29.54MS/s로 수집한 전력 파형 그래프가 도시된다. 상기 도 3의 실험에서는 gcc-arm-none-eabi-6-2017-q2-update 컴파일러가 예시적으로 사용되었으나, 컴파일러는 구현 상의 선택적 사항임은 통상의 기술자에게는 자명한 결과일 것이다. 상기 gcc-arm-none-eabi-6-2017-q2-update 컴파일러의 최적화 수준은 아래의 표 2와 같이 정의될 수 있다.
최적화 수준 설명
-O0 최적화 없음
-O1 속도 최적화(낮음)
-O2 속도 최적화(중간)
-O3 속도 최적화(높음)
-Os 크기 최적화
도 3의 전력 파형 그래프로부터 관심 영역 선택부(210)는 도 4와 같은 SOST 값의 그래프를 도출할 수 있다. 구체적으로, 도 3의 실험에서는 관심 영역을 선택하기 위해 -O3 최적화 옵션으로 n=500개의 파형을 수집하여 SOST 값을 계산했다. 도 4는 도 3의 전력 파형 그래프로부터 비밀 메시지의 각 비트 값에 대응하는 SOST가 도출된 그래프를 나타낸다. 도 4를 참조하면, 비밀 메시지의 각 비트 mi를 계산하기 위해 비밀 메시지에 대한 L 번 및 오류 정정 코드에 대한 ECC_LEN 번의 동일 연산이 수행되므로 SOST 값의 피크 값이 규칙적으로 발생한 것을 알 수 있다.
관심 영역 선택부(210)는 도 4와 같이 비교 파라미터인 SOST 값이 극대값(local maximum)이 되는 L(L은 1 이상의 자연수) 개의 포인트 위치를 이용하여 상기 타깃 전력 파형 그래프 내에서 L 개의 관심 영역 구간 pi을 선택할 수 있다. 구체적으로, LAC에서 L은 256으로 정의된다.
이어서, 도 2를 통해 클러스터링부(220) 및 추출부(230)의 동작이 설명된다. 클러스터링부(220)는 각각의 관심 영역 구간 pi에 포함되는 타깃 전력 파형 그래프의 적어도 일부를 타깃 비밀 메시지의 각 비트 mi 값에 따라 군집화할 수 있다.
구체적으로, 클러스터링부(220)는 각각의 관심 영역 구간 pi을 두 개의 군집으로 임의적으로 분류할 수 있다. 상기 두 개의 군집은 각각의 관심 영역 구간 pi에 연관되는 타깃 비밀 메시지의 각 비트 mi 값이 0이 되는 제1 군집과 상기 각각의 관심 영역 구간 pi에 연관되는 타깃 비밀 메시지의 각 비트 mi 값이 1이 되는 제2 군집으로 정의될 수 있다.
또한, 클러스터링부(220)는 두 개의 군집의 평균 전력에 기초하여 상기 각각의 관심 영역 구간 pi을 상기 두 개의 군집 중 하나로 재할당할 수 있다. 클러스터링부(220)는 재할당된 두 개의 군집에 대한 평균 전력 E(G1) 및 E(G2)를 각각 다시 계산할 수 있다. 클러스터링부(220)는 계산된 두 개의 군집의 평균 전력에 기반하여 상기 각각의 관심 영역 구간 pi에 대한 재할당의 반복 여부를 결정할 수 있다. 클러스터링부(220)는 평균 전력이 더 이상 변하지 않고, 각각의 관심 영역 구간 pi이 어느 하나 군집으로 분류되면 재할당 과정을 종료할 수 있다.
추출부(230)는 클러스터링부(220)의 군집화 결과를 이용하여 타깃 비밀 메시지를 추출할 수 있다. 구체적으로 추출부(230)는 각각의 관심 영역 구간 pi에 대응하는 인덱스 i에 따라 타깃 비밀 메시지의 각 비트 mi를 배열함으로써 타깃 비밀 메시지를 추출할 수 있다.
앞서 설명된 부채널 분석 장치(200)의 각각의 구성요소(210, 220, 230)들은 컴퓨터 판독가능 저장 매체에 저장된 컴퓨터 프로그램으로서 구현될 수도 있다. 상기 컴퓨터 프로그램은 하나 이상의 프로세서에서 실행되는 경우, LAC에 대한 부채널 분석을 수행하기 위한 이하의 동작들을 수행한다. 상기 동작은, (a) 상기 LAC에 기반하여 암호화된 n(n은 1 이상의 정수) 개의 타깃 코드 - 상기 타깃 코드는 상기 LAC에 포함되는 L 비트의 비밀 메시지와 오류 정정 코드가 연접된 코드임 -의 인코딩 연산 각각에 연관되는 n 개의 전력 파형 그래프를 획득하는 단계, (b) 상기 획득된 n 개의 전력 파형 그래프를 이용하여 타깃 전력 파형 그래프 내에서 타깃 코드에 포함되는 타깃 비밀 메시지의 각 비트 mi (i는 0 이상 L-1 이하의 정수)에 대한 관심 영역 구간 pi를 선택하는 단계, (c) 각각의 관심 영역 구간 pi에 포함되는 타깃 전력 파형 그래프의 적어도 일부를 타깃 비밀 메시지의 각 비트 mi 값에 따라 군집화하는 단계 및 (d) 상기 군집화 결과를 이용하여 상기 타깃 비밀 메시지를 추출하는 단계를 포함할 수 있다.
도 5는 도 3에 따른 최적화 수준에서의 두 개의 군집 사이의 소비 전력 차이를 나타내는 그래프이다. 관심 영역 내에서 비밀 메시지의 각 비트 값에 따른 소비 전력 분포의 차이가 명확하게 존재하므로, 부채널 분석 장치는 군집화를 통해 각각의 관심 영역 구간들의 집합을 두 개의 군집 G1 및 G2으로 오류 없이 나눌 수 있다. 이에 기반하여, 부채널 분석 장치는 단일 전력 파형만으로도 최적화 수준에 관계없이 100% 성공률로 LAC에 대한 비밀 메시지 m을 획득할 수 있다. 따라서 공격자는 획득한 비밀 메시지 m과 공개된 정보를 이용하여 두 사용자간 공유된 비밀키 K를 계산할 수 있다.
종래의 차분 전력 분석에 대응하는 마스킹 기법은 비밀 메시지 p를 두 개의 랜덤 값 pr 및 r으로 분할하여 연산을 수행하는 방법을 제시하였다. 그러나 본 실시 예에 따른 부채널 분석 장치는 LAC의 메시지 인코딩 연산에 대한 단일 파형 공격을 제시하고 있으므로, 두 개의 랜덤 값 pr 및 r 각각에 대한 분석과, eXclusive-OR로 최종적인 비밀 메시지 p= pr
Figure 112020108394641-pat00006
r 값을 해독할 수 있어 종래의 대응방법에 대한 새로운 공격 방법을 제공할 수 있다. 이에 따라 본 실시 예에 따른 부채널 분석 장치는 비대면 인증, 금융 스마트카드, 전자 ID 카드 등을 포함하고 있는 스마트 TV, 스마트 냉장고, 스마트 카 등과 같은 다양한 사물인터넷 서비스의 보안 수준을 향상시키기 위한 새로운 취약성 검증 체계의 필요성을 제시한다.
위 실시 예의 설명에 기초하여 해당 기술분야의 통상의 기술자는, 본 발명의 방법 및/또는 프로세스들, 그리고 그 단계들이 하드웨어, 소프트웨어 또는 특정 용례에 적합한 하드웨어 및 소프트웨어의 임의의 조합으로 실현될 수 있다는 점을 명확하게 이해할 수 있다. 더욱이 본 발명의 기술적 해법의 대상물 또는 선행 기술들에 기여하는 부분들은 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 기계 판독 가능한 기록 매체에 기록될 수 있다. 상기 기계 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 기계 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 분야의 통상의 기술자에게 공지되어 사용 가능한 것일 수도 있다. 기계 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD, Blu-ray와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령어의 예에는, 전술한 장치들 중 어느 하나뿐만 아니라 프로세서, 프로세서 아키텍처 또는 상이한 하드웨어 및 소프트웨어의 조합들의 이종 조합, 또는 다른 어떤 프로그램 명령어들을 실행할 수 있는 기계 상에서 실행되기 위하여 저장 및 컴파일 또는 인터프리트될 수 있는, C와 같은 구조적 프로그래밍 언어, C++ 같은 객체지향적 프로그래밍 언어 또는 고급 또는 저급 프로그래밍 언어(어셈블리어, 하드웨어 기술 언어들 및 데이터베이스 프로그래밍 언어 및 기술들)를 사용하여 만들어질 수 있는바, 기계어 코드, 바이트코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 이에 포함된다.
따라서 본 발명에 따른 일 태양에서는, 앞서 설명된 방법 및 그 조합들이 하나 이상의 연산 장치들에 의하여 수행될 때, 그 방법 및 방법의 조합들이 각 단계들을 수행하는 실행 가능한 코드로서 실시될 수 있다. 다른 일 태양에서는, 상기 방법은 상기 단계들을 수행하는 시스템들로서 실시될 수 있고, 방법들은 장치들에 걸쳐 여러 가지 방법으로 분산되거나 모든 기능들이 하나의 전용, 독립형 장치 또는 다른 하드웨어에 통합될 수 있다. 또 다른 일 태양에서는, 위에서 설명한 프로세스들과 연관된 단계들을 수행하는 수단들은 앞서 설명한 임의의 하드웨어 및/또는 소프트웨어를 포함할 수 있다. 그러한 모든 순차 결합 및 조합들은 본 개시서의 범위 내에 속하도록 의도된 것이다.
예를 들어, 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다. 상기 하드웨어 장치는, 프로그램 명령어를 저장하기 위한 ROM/RAM 등과 같은 메모리와 결합되고 상기 메모리에 저장된 명령어들을 실행하도록 구성되는 MPU, CPU, GPU, TPU와 같은 프로세서를 포함할 수 있으며, 외부 장치와 신호를 주고받을 수 있는 입출력부를 포함할 수 있다. 덧붙여, 상기 하드웨어 장치는 개발자들에 의하여 작성된 명령어들을 전달받기 위한 키보드, 마우스, 기타 외부 입력장치를 포함할 수 있다.
이상에서 본 발명이 구체적인 구성요소 등과 같은 특정 사항들과 한정된 실시 예 및 도면에 의해 설명되었으나, 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명이 상기 실시 예들에 한정되는 것은 아니며, 본 발명이 속하는 기술분야에서 통상적인 지식을 가진 사람이라면 이러한 기재로부터 다양한 수정 및 변형을 꾀할 수 있다.
따라서, 본 발명의 사상은 상기 설명된 실시 예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등하게 또는 등가적으로 변형된 모든 것들은 본 발명의 사상의 범주에 속한다고 할 것이다.
그와 같이 균등하게 또는 등가적으로 변형된 것에는, 예컨대 본 발명에 따른 방법을 실시한 것과 동일한 결과를 낼 수 있는, 논리적으로 동치(logically equivalent)인 방법이 포함될 것인바, 본 발명의 진의 및 범위는 전술한 예시들에 의하여 제한되어서는 아니되며, 법률에 의하여 허용 가능한 가장 넓은 의미로 이해되어야 한다.

Claims (15)

  1. LAC(lattice-based cryptography)에 대한 부채널 분석 장치에 있어서,
    적어도 하나의 프로세서를 포함하고, 상기 적어도 하나의 프로세서는 부채널 분석에 관한 이하의 동작들을 수행하도록 하며, 상기 동작은:
    (a) 상기 LAC에 기반하여 암호화된 n(n은 1 이상의 정수) 개의 타깃 코드 - 상기 타깃 코드는 상기 LAC에 포함되는 L 비트의 비밀 메시지와 오류 정정 코드가 연접된 코드임 -의 인코딩 연산 각각에 연관되는 n 개의 전력 파형 그래프를 획득하는 단계;
    (b) 상기 획득된 n 개의 전력 파형 그래프를 이용하여 타깃 전력 파형 그래프 내에서 타깃 코드에 포함되는 타깃 비밀 메시지의 각 비트 mi (i는 0 이상 L-1 이하의 정수)에 대한 관심 영역 구간 pi를 선택하는 단계;
    (c) 미리 설정된 비교 파라미터가 극대값이 되는 L(L은 1 이상의 자연수)개의 포인트 위치를 이용하여 선택된 각각의 관심 영역 구간 pi에 포함되는 타깃 전력 파형 그래프의 적어도 일부를 타깃 비밀 메시지의 각 비트 mi 값에 따라 군집화하는 단계; 및
    (d) 상기 군집화 결과를 이용하여 상기 타깃 비밀 메시지를 추출하는 단계
    를 포함하고,
    상기 n 개의 전력 파형 그래프 각각은,
    미리 설정된 비밀 메시지 mknown와 오류 정정 코드가 연접된 타깃 코드 p_code에 대해 상기 타깃 코드 p_code의 [i/8] 번째 바이트를 i를 8로 나눈 나머지 값만큼 오른쪽으로 시프트하는 시프트 연산을 수행하고,
    시프트 연산된 제1 결과값과 1 사이의 & 연산이 수행된 제2 결과값을 소정의 상수와 곱하는 연산을 수행하는 장치의 전력 파형 그래프를 포함하는 것을 특징으로 하는 LAC(lattice-based cryptography)에 대한 부채널 분석 장치.
  2. 삭제
  3. 제1항에 있어서,
    상기 (b) 단계는,
    상기 n 개의 전력 파형 그래프에 포함되는 각각의 시간 구간을 상기 미리 설정된 비밀 메시지 mknown의 각 비트 값에 따라 제1 군집 G1과 제2 군집 G2로 분류하는 단계;
    상기 제1 군집 G1및 상기 제2 군집 G2에 포함되는 각각의 시간 구간의 전력값을 이용하여 비교 파라미터를 계산하는 단계; 및
    상기 비교 파라미터가 극대값이 되는 L(L은 1 이상의 자연수)개의 포인트 위치를 이용하여 상기 타깃 전력 파형 그래프 내에서 L 개의 관심 영역 구간 pi을 선택하는 단계
    를 포함하는 LAC(lattice-based cryptography)에 대한 부채널 분석 장치.
  4. 제3항에 있어서,
    상기 비교 파라미터를 계산하는 단계는,
    수학식 2에 기반하여 SOST(sum of squared pairwise t-differences) 값을 계산하는 단계
    를 포함하고,
    상기 수학식 2는
    Figure 112020108394641-pat00007
    이고, E(G1)은 상기 제1 군집 G1에 포함되는 시간 구간의 평균 전력을 나타내고, σ(G1)은 상기 제1 군집 G1에 포함되는 시간 구간 각각의 평균 전력의 표준 편차를 나타내고, n(G1)은 상기 제1 군집 G1에 포함되는 시간 구간의 개수를 나타내고, E(G2)은 상기 제2 군집 G2에 포함되는 시간 구간의 평균 전력을 나타내고, σ(G2)은 상기 제2 군집 G2에 포함되는 시간 구간 각각의 평균 전력의 표준 편차를 나타내고, n(G2)은 상기 제2 군집 G2에 포함되는 시간 구간의 개수를 나타내는 LAC(lattice-based cryptography)에 대한 부채널 분석 장치.
  5. 제1항에 있어서,
    상기 (c) 단계는,
    상기 각각의 관심 영역 구간 pi을 두 개의 군집으로 임의적으로 분류하는 단계;
    상기 두 개의 군집의 평균 전력에 기초하여 상기 각각의 관심 영역 구간 pi을 상기 두 개의 군집 중 하나로 재할당하는 단계;
    상기 재할당된 두 개의 군집에 대한 평균 전력을 다시 계산하는 단계; 및
    상기 계산된 두 개의 군집의 평균 전력에 기반하여 상기 각각의 관심 영역 구간 pi에 대한 재할당의 반복 여부를 결정하는 단계
    를 포함하는 LAC(lattice-based cryptography)에 대한 부채널 분석 장치.
  6. 제5항에 있어서,
    상기 두 개의 군집은,
    상기 각각의 관심 영역 구간 pi에 연관되는 타깃 비밀 메시지의 각 비트 mi 값이 0이 되는 제1 군집; 및
    상기 각각의 관심 영역 구간 pi에 연관되는 타깃 비밀 메시지의 각 비트 mi 값이 1이 되는 제2 군집
    를 포함하는 LAC(lattice-based cryptography)에 대한 부채널 분석 장치.
  7. 제1항에 있어서,
    상기 (d) 단계는,
    상기 각각의 관심 영역 구간 pi에 대응하는 인덱스 i를 이용하여 상기 타깃 비밀 메시지의 각 비트 mi를 포함하는 상기 타깃 비밀 메시지를 추출하는 단계
    를 포함하는 LAC(lattice-based cryptography)에 대한 부채널 분석 장치.
  8. (a) LAC에 기반하여 암호화된 n(n은 1 이상의 정수) 개의 타깃 코드 - 상기 타깃 코드는 상기 LAC에 포함되는 L 비트의 비밀 메시지와 오류 정정 코드가 연접된 코드임 -의 인코딩 연산 각각에 연관되는 n 개의 전력 파형 그래프를 획득하는 단계;
    (b) 상기 획득된 n 개의 전력 파형 그래프를 이용하여 타깃 전력 파형 그래프 내에서 타깃 코드에 포함되는 타깃 비밀 메시지의 각 비트 mi (i는 0 이상 L-1 이하의 정수)에 대한 관심 영역 구간 pi를 선택하는 단계;
    (c) 미리 설정된 비교 파라미터가 극대값이 되는 L(L은 1 이상의 자연수)개의 포인트 위치를 이용하여 선택된 각각의 관심 영역 구간 pi에 포함되는 타깃 전력 파형 그래프의 적어도 일부를 타깃 비밀 메시지의 각 비트 mi 값에 따라 군집화하는 단계; 및
    (d) 상기 군집화 결과를 이용하여 상기 타깃 비밀 메시지를 추출하는 단계
    를 포함하고,
    상기 n 개의 전력 파형 그래프 각각은,
    미리 설정된 비밀 메시지 mknown와 오류 정정 코드가 연접된 타깃 코드 p_code에 대해 상기 타깃 코드 p_code의 [i/8] 번째 바이트를 i를 8로 나눈 나머지 값만큼 오르쪽으로 시프트하는 시프트 연산을 수행하고,
    시프트 연산된 제1 결과값과 1 사이의 & 연산이 수행된 제2 결과값을 소정의 상수와 곱하는 연산을 수행하는 장치의 전력 파형 그래프를 포함하는 것을 특징으로 하는 LAC(lattice-based cryptography)에 대한 부채널 분석 방법.
  9. 삭제
  10. 제8항에 있어서,
    상기 (b) 단계는,
    상기 n 개의 전력 파형 그래프에 포함되는 각각의 시간 구간을 상기 미리 설정된 비밀 메시지 mknown의 각 비트 값에 따라 제1 군집 G1과 제2 군집 G2로 분류하는 단계;
    상기 제1 군집 G1및 상기 제2 군집 G2에 포함되는 각각의 시간 구간의 전력값을 이용하여 비교 파라미터를 계산하는 단계; 및
    상기 비교 파라미터가 극대값이 되는 L(L은 1 이상의 자연수)개의 포인트 위치를 이용하여 상기 타깃 전력 파형 그래프 내에서 L 개의 관심 영역 구간 pi을 선택하는 단계
    를 포함하는 LAC(lattice-based cryptography)에 대한 부채널 분석 방법.
  11. 제10항에 있어서,
    상기 비교 파라미터를 계산하는 단계는,
    수학식 2에 기반하여 SOST(sum of squared pairwise t-differences) 값을 계산하는 단계
    를 포함하고,
    상기 수학식 2는
    Figure 112020108394641-pat00008
    이고, E(G1)은 상기 제1 군집 G1에 포함되는 시간 구간의 평균 전력을 나타내고, σ(G1)은 상기 제1 군집 G1에 포함되는 시간 구간 각각의 평균 전력의 표준 편차를 나타내고, n(G1)은 상기 제1 군집 G1에 포함되는 시간 구간의 개수를 나타내고, E(G2)은 상기 제2 군집 G2에 포함되는 시간 구간의 평균 전력을 나타내고, σ(G2)은 상기 제2 군집 G2에 포함되는 시간 구간 각각의 평균 전력의 표준 편차를 나타내고, n(G2)은 상기 제2 군집 G2에 포함되는 시간 구간의 개수를 나타내는 LAC(lattice-based cryptography)에 대한 부채널 분석 방법
  12. 제8항에 있어서,
    상기 (c) 단계는,
    상기 각각의 관심 영역 구간 pi을 두 개의 군집으로 임의적으로 분류하는 단계;
    상기 두 개의 군집의 평균 전력에 기초하여 상기 각각의 관심 영역 구간 pi을 상기 두 개의 군집 중 하나로 재할당하는 단계;
    상기 재할당된 두 개의 군집에 대한 평균 전력을 다시 계산하는 단계; 및
    상기 계산된 두 개의 군집의 평균 전력에 기반하여 상기 각각의 관심 영역 구간 pi에 대한 재할당의 반복 여부를 결정하는 단계
    를 포함하는 LAC(lattice-based cryptography)에 대한 부채널 분석 방법.
  13. 제12항에 있어서,
    상기 두 개의 군집은,
    상기 각각의 관심 영역 구간 pi에 연관되는 타깃 비밀 메시지의 각 비트 mi 값이 0이 되는 제1 군집; 및
    상기 각각의 관심 영역 구간 pi에 연관되는 타깃 비밀 메시지의 각 비트 mi 값이 1이 되는 제2 군집
    를 포함하는 LAC(lattice-based cryptography)에 대한 부채널 분석 방법.
  14. 제8항에 있어서,
    상기 (d) 단계는,
    상기 각각의 관심 영역 구간 pi에 대응하는 인덱스 i를 이용하여 상기 타깃 비밀 메시지의 각 비트 mi를 포함하는 상기 타깃 비밀 메시지를 추출하는 단계
    를 포함하는 LAC(lattice-based cryptography)에 대한 부채널 분석 방법.
  15. 컴퓨터 판독가능 저장 매체에 저장된 컴퓨터 프로그램으로서, 상기 컴퓨터 프로그램은 하나 이상의 프로세서에서 실행되는 경우, LAC에 대한 부채널 분석을 수행하기 위한 이하의 동작들을 수행하도록 하며, 상기 동작은;
    (a) 상기 LAC에 기반하여 암호화된 n(n은 1 이상의 정수) 개의 타깃 코드 - 상기 타깃 코드는 상기 LAC에 포함되는 L 비트의 비밀 메시지와 오류 정정 코드가 연접된 코드임 -의 인코딩 연산 각각에 연관되는 n 개의 전력 파형 그래프를 획득하는 단계;
    (b) 상기 획득된 n 개의 전력 파형 그래프를 이용하여 타깃 전력 파형 그래프 내에서 타깃 코드에 포함되는 타깃 비밀 메시지의 각 비트 mi (i는 0 이상 L-1 이하의 정수)에 대한 관심 영역 구간 pi를 선택하는 단계;
    (c) 미리 설정된 비교 파라미터가 극대값이 되는 L(L은 1 이상의 자연수)개의 포인트 위치를 이용하여 선택된 각각의 관심 영역 구간 pi에 포함되는 타깃 전력 파형 그래프의 적어도 일부를 타깃 비밀 메시지의 각 비트 mi 값에 따라 군집화하는 단계; 및
    (d) 상기 군집화 결과를 이용하여 상기 타깃 비밀 메시지를 추출하는 단계
    를 포함하고,
    상기 n 개의 전력 파형 그래프 각각은,
    미리 설정된 비밀 메시지 mknown와 오류 정정 코드가 연접된 타깃 코드 p_code에 대해 상기 타깃 코드 p_code의 [i/8] 번째 바이트를 i를 8로 나눈 나머지 값만큼 오른쪽으로 시프트하는 시프트 연산을 수행하고,
    시프트 연산된 제1 결과값과 1 사이의 & 연산이 수행된 제2 결과값을 소정의 상수와 곱하는 연산을 수행하는 장치의 전력 파형 그래프를 포함하는 것을 특징으로 하는 컴퓨터 판독가능 저장 매체에 저장된 컴퓨터 프로그램.
KR1020200132527A 2020-10-14 2020-10-14 Lac에 대한 부채널 분석 장치 및 방법 KR102312379B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200132527A KR102312379B1 (ko) 2020-10-14 2020-10-14 Lac에 대한 부채널 분석 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200132527A KR102312379B1 (ko) 2020-10-14 2020-10-14 Lac에 대한 부채널 분석 장치 및 방법

Publications (1)

Publication Number Publication Date
KR102312379B1 true KR102312379B1 (ko) 2021-10-12

Family

ID=78078470

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200132527A KR102312379B1 (ko) 2020-10-14 2020-10-14 Lac에 대한 부채널 분석 장치 및 방법

Country Status (1)

Country Link
KR (1) KR102312379B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115065481A (zh) * 2022-06-17 2022-09-16 国网浙江省电力有限公司信息通信分公司 公钥密码算法侧信道分析方法、装置及相关设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100723863B1 (ko) 2005-11-12 2007-05-31 한국전자통신연구원 랜덤화한 프로베니우스 분해방법을 이용한 차분 공격 방지방법 및 그 장치
KR102155035B1 (ko) * 2018-11-21 2020-09-11 주식회사 크립트앤텍 양자 내성 암호 ntru 기술에 대한 단일 파형 전력 분석 및 대응 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100723863B1 (ko) 2005-11-12 2007-05-31 한국전자통신연구원 랜덤화한 프로베니우스 분해방법을 이용한 차분 공격 방지방법 및 그 장치
KR102155035B1 (ko) * 2018-11-21 2020-09-11 주식회사 크립트앤텍 양자 내성 암호 ntru 기술에 대한 단일 파형 전력 분석 및 대응 방법

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
[1] Robert Primas, et al. "Single-Trace Side-Channel Attacks on Masked Lattice-Based Encryption".
Wei-Lun Huang, Jiun-Peng Chen, and Bo-Yin Yang. "Power analysis on NTRU prime." IACR Transactions on Cryptographic Hardware and Embedded Systems (2019.) *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115065481A (zh) * 2022-06-17 2022-09-16 国网浙江省电力有限公司信息通信分公司 公钥密码算法侧信道分析方法、装置及相关设备

Similar Documents

Publication Publication Date Title
KR102665929B1 (ko) 물리적으로 복제 불가능한 기능의 원격 재등록
Kannwischer et al. Single-trace attacks on keccak
Hiller et al. Breaking through fixed PUF block limitations with differential sequence coding and convolutional codes
CN109787743B (zh) 一种基于矩阵运算的可验证的全同态加密方法
JP6504013B2 (ja) 暗号処理方法、暗号処理装置、および暗号処理プログラム
Panchal et al. Biometric-based cryptography for digital content protection without any key storage
Rathgeb et al. Statistical attack against iris-biometric fuzzy commitment schemes
JP2016131335A (ja) 情報処理方法、情報処理プログラムおよび情報処理装置
Reddy et al. Performance of iris based hard fuzzy vault
Mahesh Kumar et al. BMIAE: blockchain‐based multi‐instance iris authentication using additive ElGamal homomorphic encryption
Sadhya et al. Providing robust security measures to Bloom filter based biometric template protection schemes
US10567155B2 (en) Securing a cryptographic device
US9608819B1 (en) Learning parity with noise-based relational encryption for proximity relations
CN104836808A (zh) 基于改进差分错误攻击的sm2签名算法安全性验证方法
Hiller et al. Hiding secrecy leakage in leaky helper data
KR102312379B1 (ko) Lac에 대한 부채널 분석 장치 및 방법
Bhattacharjee et al. Unified GPU technique to boost confidentiality, integrity and trim data loss in big data transmission
Merkle et al. Multi-modal and multi-instance fusion for biometric cryptosystems
CN106156615B (zh) 基于类可分性判距的旁路区分器方法及系统
Sun et al. [Retracted] Face Security Authentication System Based on Deep Learning and Homomorphic Encryption
Lin et al. A high-security-level iris cryptosystem based on fuzzy commitment and soft reliability extraction
You et al. Low trace-count template attacks on 32-bit implementations of ASCON AEAD
Ren et al. A security-enhanced and privacy-preserving certificateless aggregate signcryption scheme-based artificial neural network in wireless medical sensor network
KR102280708B1 (ko) NTRU LPRime 암호에 대한 부채널 분석 장치 및 방법
Ueno et al. Rejection sampling schemes for extracting uniform distribution from biased pufs

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant