KR102344915B1 - 오류 주입 공격 장치 및 방법 - Google Patents

오류 주입 공격 장치 및 방법 Download PDF

Info

Publication number
KR102344915B1
KR102344915B1 KR1020200151284A KR20200151284A KR102344915B1 KR 102344915 B1 KR102344915 B1 KR 102344915B1 KR 1020200151284 A KR1020200151284 A KR 1020200151284A KR 20200151284 A KR20200151284 A KR 20200151284A KR 102344915 B1 KR102344915 B1 KR 102344915B1
Authority
KR
South Korea
Prior art keywords
ciphertext
secret key
equation
erroneous
candidate
Prior art date
Application number
KR1020200151284A
Other languages
English (en)
Inventor
한동국
김주환
이종혁
임한섭
Original Assignee
국민대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국민대학교산학협력단 filed Critical 국민대학교산학협력단
Application granted granted Critical
Publication of KR102344915B1 publication Critical patent/KR102344915B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0631Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/24Key scheduling, i.e. generating round keys or sub-keys for block encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/26Testing cryptographic entity, e.g. testing integrity of encryption key or encryption algorithm

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

오류 주입 공격 방법 및 오류 주입 공격 장치가 개시된다.
일 실시예에 따른 오류 주입 공격 방법은 정상 암호문 및 오류 암호문을 수신하는 단계, 상기 오류 암호문이 서브 바이트(SubBytes)함수 생략에 기초하여 생성되었는 지 여부를 결정하는 단계, 상기 오류 암호문이 서브 바이트 함수 생략에 기초하여 생성된 경우, 상기 정상 암호문 및 오류 암호분의 차분에 기초하여 후보 비밀 키 집합을 산출하는 단계, 상기 후보 키 집합에 대한 검증을 수행하는 단계, 및 검증이 성공한 후보 비밀 키를 최종 비밀 키로 결정하는 단계를 포함할 수 있다.

Description

오류 주입 공격 장치 및 방법{FAULT INJECTION ATTACK APPARATUS AND METHOD }
아래 실시 예들은 AES에 기반한 오류 주입 공격 장치 및 방법에 관한 것이다.
오류 주입 공격은 장비의 오작동을 유도함으로써 발생하는 결과를 이용해 비밀 정보를 분석하는 방법이다. 일반적으로 오류를 발생시키기 위한 전자파나 레이저 등을 암호화 장비에 주입하는 방법이 사용될 수 있다. 전통적인 오류 주입 공격은 인위적으로 발생시킨 오류로 인해 암호 알고리즘의 중간 계산 값이 변조되었다는 가정 또는 특정 명령어가 생략되었다는 가정에 기반을 두고 있다.
기존 오류 주입 공격 방안은 전체 비밀 키를 찾기 위하여 많은 수의 평문 및 암호문 쌍을 필요로하는 한계가 있다.
기존 방식에 비해 경량화된 방식을 통해 비밀 키를 찾을 수 있는 오류 주입 방법을 제안하는 것을 목적으로 한다.
일 실시예에 따른 오류 주입 공격 방법은 정상 암호문 및 오류 암호문을 수신하는 단계; 상기 오류 암호문이 서브 바이트(SubBytes)함수 생략에 기초하여 생성되었는 지 여부를 결정하는 단계; 상기 오류 암호문이 서브 바이트 함수 생략에 기초하여 생성된 경우, 상기 정상 암호문 및 오류 암호분의 차분에 기초하여 후보 비밀 키 집합을 산출하는 단계; 상기 후보 키 집합에 대한 검증을 수행하는 단계; 및 검증이 성공한 후보 비밀 키를 최종 비밀 키로 결정하는 단계를 포함할 수 있다.
일 실시예에 따르면, 상기 후보 비밀 키 집합을 산출하는 단계는 수학식 1 내지 수학식 4에 기초하여 수행되며, 상기 수학식 1은
Figure 112020121421861-pat00001
이고, 상기 수학식 2는
Figure 112020121421861-pat00002
이고, 상기 수학식 3은
Figure 112020121421861-pat00003
이며, 상기 C는 정상 암호문 상기 C*는 오류 암호문, 상기 I는 마지막 라운드의 서브 바이트 함수에 대한 입력, 상기 SBox 는 AES의 Sbox, 상기 K는 마지막 라운드의 비밀키에 대한 후보 비밀키, 상기
Figure 112020121421861-pat00004
는 XOR 연산을 의미할 수 있다.
일 실시예에 따르면, 상기 검증을 수행하는 단계는 상기 후보 비밀 키 집합에 각각의 후보 비밀 키를 암호화하는 단계; 상기 암호화된 후보 비밀 키 중 정상 암호문에 대응되는 후보 비밀키를 검증이 성공한 후보 비밀 키로 결정하는 단계를 포함할 수 있다.
일 실시예에 따르면 상기 오류 암호문이 서브 바이트(Subbytes)함수 생략에 기초하여 생성되었는 지 여부를 결정하는 단계는 상기 오류 암호문이 수학식 4에 기초하여 표현되는 집합 P에 포함된 경우, 상기 오류 암호문을 서브 바이트 함수 생략에 기초하여 생성된 오류 암호문으로 결정하는 단계 를 포함하고, 상기 수학식 4는
Figure 112020121421861-pat00005
이고, 상기 집합 P는 수학식 2를 충족시킬 수 있는 차분 값의 집합이고, 상기 Nx는 수학식 5로 표현되고, 상기 수학식 5는
Figure 112020121421861-pat00006
이고, 상기 Nx는 x개의 원소를 가지는 수학식 6으로 표현되는 Sj의 개별 원소를 포함하는 집합이고, 상기 수학식 6은
Figure 112020121421861-pat00007
이고, 상기 Sj는 상기 수학식 2에 따른 차분 집합, 상기 J는 상기 Sj의 원소, 상기 j는 개별 원소의 값일 수 있다.
일 실시예에 따른 오류 주입 공격 장치는 입력 암호문을 수신하는 통신부; 및 프로세서를 포함하고, 상기 프로세서는 정상 암호문 및 오류 암호문을 수신하고, 상기 오류 암호문이 서브 바이트(SubBytes)함수 생략에 기초하여 생성되었는 지 여부를 결정하고, 상기 오류 암호문이 서브 바이트 함수 생략에 기초하여 생성된 경우, 상기 정상 암호문 및 오류 암호분의 차분에 기초하여 후보 비밀 키 집합을 산출하고, 상기 후보 키 집합에 대한 검증을 수행하고, 검증이 성공한 후보 비밀 키를 최종 비밀 키로 결정할 수 있다.
본 발명에 따른 오류 주입 공격 방법은 비밀키를 찾기 위하여 다수의 평문 및 암호문 쌍을 필요로하는 종래의 방식에 비해 경량화된 오류 주입 공격 방법을 제공할 수 있다. 본 발명은 오류 암호문이 서브 바이트(SubBytes) 함수 생략으로부터 유도된 것인지 확인하는 절차를 통해 인위적인 트리거 없이 오류 주입 공격을 수행하는 수단을 제공할 수 있다.
본 발명의 실시 예의 설명에 이용되기 위하여 첨부된 아래 도면들은 본 발명의 실시 예들 중 단지 일부일 뿐이며, 본 발명의 기술분야에서 통상의 지식을 가진 사람(이하 "통상의 기술자"라 함)에게 있어서는 발명에 이르는 추가 노력 없이 이 도면들에 기초하여 다른 도면들이 얻어질 수 있다.
도 1은 일 실시예에 따른 오류 주입 공격 방법을 설명하기 위한 흐름도이다.
도 2는 일 실시예에 따른 오류 주입 공격 방법의 복잡도를 설명하기 위한 도면이다.
도 3은 일 실시예에 따른 오류 주입 공격 장치에 의해 수행되는 암호문 분류 방법을 설명하기 위한 도면이다.
도 4는 일 실시예에 따른 오류 주입 공격 장치의 구성을 도시하는 블록도이다.
후술하는 본 발명에 대한 상세한 설명은, 본 발명의 목적들, 기술적 해법들 및 장점들을 분명하게 하기 위하여 본 발명이 실시될 수 있는 특정 실시 예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시 예는 통상의 기술자가 본 발명을 실시할 수 있도록 상세히 설명된다.
본 발명의 상세한 설명 및 청구항들에 걸쳐, '포함하다'라는 단어 및 그 변형은 다른 기술적 특징들, 부가물들, 구성요소들 또는 단계들을 제외하는 것으로 의도된 것이 아니다. 또한, '하나' 또는 '한'은 하나 이상의 의미로 쓰인 것이며, '또 다른'은 적어도 두 번째 이상으로 한정된다.
또한, 본 발명의 '제1', '제2' 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위한 것으로서, 순서를 나타내는 것으로 이해되지 않는 한 이들 용어들에 의하여 권리범위가 한정되어서는 아니 된다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 이와 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다고 언급된 때에는 그 다른 구성요소에 직접 연결될 수도 있지만 중간에 다른 구성요소가 개재할 수도 있다고 이해되어야 할 것이다. 반면에 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다고 언급된 때에는 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 한편, 구성요소들 간의 관계를 설명하는 다른 표현들, 즉, "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.
각 단계들에 있어서 식별부호(예를 들어, a, b, c 등)는 설명의 편의를 위하여 사용된 것으로 식별부호는 논리상 필연적으로 귀결되지 않는 한 각 단계들의 순서를 설명하는 것이 아니며, 각 단계들은 명기된 순서와 다르게 일어날 수 있다. 즉, 각 단계들은 명기된 순서와 동일하게 일어날 수도 있고 실질적으로 동시에 수행될 수도 있으며, 반대의 순서로 수행될 수도 있다.
통상의 기술자에게 본 발명의 다른 목적들, 장점들 및 특성들이 일부는 본 설명서로부터, 그리고 일부는 본 발명의 실시로부터 드러날 것이다. 아래의 예시 및 도면은 실례로서 제공되며, 본 발명을 한정하는 것으로 의도된 것이 아니다. 따라서, 특정 구조나 기능에 관하여 본 명세서에 개시된 상세 사항들은 한정하는 의미로 해석되어서는 아니되고, 단지 통상의 기술자가 실질적으로 적합한 임의의 상세 구조들로써 본 발명을 다양하게 실시하도록 지침을 제공하는 대표적인 기초 자료로 해석되어야 할 것이다.
더욱이 본 발명은 본 명세서에 표시된 실시 예들의 모든 가능한 조합들을 망라한다. 본 발명의 다양한 실시 예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시 예에 관련하여 본 발명의 사상 및 범위를 벗어나지 않으면서 다른 실시 예로 구현될 수 있다. 또한, 각각의 개시된 실시 예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 사상 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.
본 명세서에서 달리 표시되거나 분명히 문맥에 모순되지 않는 한, 단수로 지칭된 항목은, 그 문맥에서 달리 요구되지 않는 한, 복수의 것을 아우른다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.
이하, 통상의 기술자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시 예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.
도 1은 일 실시예에 따른 오류 주입 공격 방법을 설명하기 위한 흐름도이다.
주입된 오류로 인하여 AES(Advanced encryption standard)의 마지막 라운드의 서브 바이트(SubBytes) 함수가 생략된 경우, 오류 주입 공격 장치는 단일 정상 암호문 및 오류 암호문 쌍을 이용하여 비밀 키를 찾을 수 있다. ShiftRows는 단순히 바이트의 순서를 섞는 역할을 하기 때문에, 본원 발명에서는 ShiftRows를 고려하지 않을 수 있다. AES는 10 라운드 키로부터 비밀키를 복구할 수 있으므로, 일 실시예에 따른 오류 주입 공격 방법에서는 10 라운드 키를 찾는 것을 공격의 목표로 할 수 있다.
일 실시예에 따르면, 오류 주입 공격 장치는 단계(110)에서 정상 암호문 및 오류 암호문 사이의 차분을 계산할 수 있다.
보다 구체적으로, 오류 주입 공격 장치는 수학식 1을 통해 계산되는 정상 암호문 C 및 오류 암호문 C*에 대하여, 수학식 2를 적용하여 상호간의 차분을 계산할 수 있다.
Figure 112020121421861-pat00008
Figure 112020121421861-pat00009
C는 정상 암호문 C*는 오류 암호문, I는 마지막 라운드의 서브 바이트 함수에 대한 입력, SBox 는 AES의 Sbox, K는 마지막 라운드의 비밀키에 대한 후보 비밀키,
Figure 112020121421861-pat00010
는 XOR 연산을 의미할 수 있다.
C 및 C*의 값은 암호화 장치의 출력을 통해 알 수 있기 때문에, 수학식 1 및 수학식 2를 통하여 입력 I의 집합이 산출될 수 있다.
오류 주입 공격 장치는 단계(120)에서 산출된 차분을 이용하여 후보 비밀 키K를 포함하는 후보 비밀 키 집합을 산출할 수 있다.
보다 구체적으로, 수학식 1에 나타난 오류 암호문 C*에 대한 표현에 기초하여 오류 주입 공격 장치는 후보 비밀 키 K를 수학식 3에 기초하여 산출함으로써 후보 비밀 키 집합을 산출할 수 있다.
Figure 112020121421861-pat00011
오류 주입 공격 장치는 단계(130)에서 후보 비밀 키 K에 대한 암호화를 통해 후보 비밀 키 K에 대한 검증을 수행할 수 있다. 보다 구체적으로, 오류 주입 공격 장치는 후보 비밀 키 K에 대한 암호화를 수행하여 정상 암호문이 출력된 후보 비밀 키 K를 검증에 성공한 후보 비밀 키로 결정하고, 올바른 암호문이 나오지 않은 후보 비밀 키 K를 검증에 실패한 후보 비밀 키로 결정할 수 있다.
오류 주입 공격 장치는 단계(140)에서 단계(130)에서 검증에 성공한 후보 비밀 키를 비밀 키로써 획득할 수 있다.
도 2는 일 실시예에 따른 오류 주입 공격 방법의 복잡도를 설명하기 위한 도면이다.
일 실시예에 따른 오류 주입 공격의 복잡도는 수학식 2를 만족하는 I의 개수에 의존할 수 있다.
오류 주입 공격의 복잡도는 수학식 4를 통해 표현될 수 있다.
Figure 112020121421861-pat00012
Sj는 수학식 2에 따른 차분 집합, J는 Sj의 원소, j는 개별 원소의 값, SBox는 AES의 Sbox,
Figure 112020121421861-pat00013
는 XOR 연산을 의미할 수 있다.
Sj의 원소의 개수에 따라 오류 주입 공격의 복잡도가 결정될 수 있으며, |Sj|의 분포를 확인하기 위한 집합 Nx은 수학식 5와 같이 산출될 수 있다.
Figure 112020121421861-pat00014
Nx는 x개의 원소를 가지는 Sj의 개별 원소를 포함하는 집합을 의미할 수 있다.
x에 따른 |Nx|의 분포는 도 2에 도시된 바와 같다. 도 2에 도시된 바와 같이 |N1|는 수학식 2에 따른 출력으로 가능한 값 중 91개는 해당 값으로부터 I를 단일하게 결정할 수 있음을 의미할 수 있다.
바이트별 후보 비밀 키의 개수의 평균을 |Nx|의 분포를 통해 산출할 수 있으며, 이는 수학식 6에 기초하여 산출될 수 있다.
Figure 112020121421861-pat00015
수학식 6에 기초하여 전체 16바이트 후보 비밀 키 K의 평균은
Figure 112020121421861-pat00016
으로 산출될 수 있다. 이는, 단일 정상 및 오류 암호문 쌍을 통해 평균적으로 후보 비밀 키 K를 1370개로 줄일 수 있음을 의미할 수 있다. 이는 일 실시예에 따른 오류 주입 공격을 통해 수초 내에 비밀키를 찾을 수 있음을 의미할 수 있다.
도 3는 일 실시예에 따른 오류 주입 공격 장치에 의해 수행되는 암호문 분류 방법을 설명하기 위한 도면이다.
앞서 설명된 수학식 2를 만족하는 입력 I에는 충돌이 발생될 수 있다. 수학식 2에 따라 산출되는 차분 값의 집합은 수학식 7로 정의될 수 있다.
Figure 112020121421861-pat00017
P는 수학식 2를 충족시킬 수 있는 차분 값의 집합, Nx는 x개의 원소를 가지는 Sj의 개별 원소를 포함하는 집합을 의미할 수 있다. 집합 P는 집합 [0, 255]의 진부분집합일 수 있다.
오류 주입 공격 장치는 정상 암호문과 오류 암호문 사이의 차분을 수학식 2를 통해 산출하였을 때, 산출 값이 P의 원소인지 아닌지 여부에 기초하여 오류 암호문이 서브 바이트 함수의 생략에 기초하여 유도된 것인지 여부를 결정할 수 있다.
보다 구체적으로, 도 2에 도시된 사항에 기초하여 |P| = 163(256-93)으로 산출되므로, 모든 바이트에 대한 수학식 2의 값이 P의 원소일 때에 서브 바이트 함수 생략으로 오류 암호문이 생성되었을 확률은 수학식 8과 같이 산출될 수 있다.
Figure 112020121421861-pat00018
따라서, 위와 같이 설명된 암호문 분류 방법은 99.927%의 확률로 오류 암호문이 서브 바이트 함수 생략에 기초하여 생성되었는 지 여부를 결정할 수 있다.
위 방식을 통해 오류의 원인이 파악될 수 있다면, 오류 주입 공격 장치는 오류를 주입할 정확한 위치와 시점을 지정하지 않더라도 원하는 오류 암호문을 얻을 수 있으므로, 현실적인 공격 가정이 가능한 수단을 제공할 수 있다.
도 3를 참조하여 위 동작을 보다 상세하게 설명하면, 단계(310)에서 오류 주입 공격 장치는 정상 암호문 및 오류 암호문에 대한 입력 정보를 수신할 수 있다.
단계(320)에서 오류 주입 공격 장치는 입력 정보에 포함된 정상 암호문 및 오류 암호문의 차분을 수학식 2를 통해 산출하고, 산출된 차분이 앞선 수학식 7에 따른 집합 P에 포함되는 지 여부를 결정할 수 있다. 보다 구체적으로, 오류 주입 공격 장치는 수학식 2에 기초하여 입력 정보에 포함된 정상 암호문 및 오류 암호문의 차분이 집합 P에 포함되는 경우, 단계(330)을 통해 입력 정보에 포함된 오류 암호문이 서브 바이트 함수의 생략에 기초하여 생성된 것으로 결정할 수 있다.
단계(320)에서 입력 정보에 포함된 정상 암호문 및 오류 암호문의 차분이 차분 집합 P에 포함되지 않는 경우, 오류 주입 공격 장치는 단계(340)를 통해 해당 암호문은 서브 바이트 함수 생략에 기초하여 생성되지 않은 것으로 결정할 수 있고, 단계(310)를 통해 새로운 입력 정보를 수신할 수 있다.
도 3을 통해 수행되는 암호문 분류 방법은, 도 1을 통해 설명되는 오류 주입 공격 이전에 수행되어, 단계(330)을 통해 서브 바이트 생략에 기초하여 생성된 오류 암호문에 한하여 도 1에 대응되는 오류 주입 공격이 적용될 수 있다.
또한, 도 3을 통해 서브 바이트 함수의 생략에 기초하여 생성된 오류 암호문에 대해서만 도 1의 동작을 수행함으로써 본원 발명은 인위적인 트리거 없이 오류 주입 공격을 수행하는 수단을 제공할 수 있다.
도 4는 일 실시예에 따른 오류 주입 공격 장치의 구성을 도시하는 블록도이다.
도 4를 참조하면, 일 실시예에 따른 오류 주입 공격 장치(400)는 프로세서(420)를 포함한다. 오류 주입 공격 장치(400)는 메모리(410) 및 통신 인터페이스(430)를 더 포함할 수 있다. 프로세서(420), 메모리(410) 및 통신 인터페이스(430)는 통신 버스(미도시)를 통해 서로 통신할 수 있다.
프로세서(420)는 정상 암호문 및 오류 암호문을 수신하고, 오류 암호문이 서브 바이트(SubBytes)함수 생략에 기초하여 생성되었는 지 여부를 결정하고, 오류 암호문이 서브 바이트 함수 생략에 기초하여 생성된 경우, 정상 암호문 및 오류 암호분의 차분에 기초하여 후보 비밀 키 집합을 산출하고, 후보 키 집합에 대한 검증을 수행하고, 검증이 성공한 후보 비밀 키를 최종 비밀 키로 결정할 수 있다.
메모리(410)는 휘발성 메모리 또는 비 휘발성 메모리일 수 있다.
이 밖에도, 프로세서(420)는 프로그램을 실행하고, 오류 주입 공격 장치 (400)를 제어할 수 있다. 프로세서(420)에 의하여 실행되는 프로그램 코드는 메모리(410)에 저장될 수 있다. 오류 주입 공격 장치(400)는 입출력 장치(미도시)를 통하여 외부 장치(예를 들어, 퍼스널 컴퓨터 또는 네트워크)에 연결되고, 데이터를 교환할 수 있다. 오류 주입 공격 장치(400)는 서버에 탑재될 수 있다.
위 실시 예의 설명에 기초하여 해당 기술분야의 통상의 기술자는, 본 발명의 방법 및/또는 프로세스들, 그리고 그 단계들이 하드웨어, 소프트웨어 또는 특정 용례에 적합한 하드웨어 및 소프트웨어의 임의의 조합으로 실현될 수 있다는 점을 명확하게 이해할 수 있다. 더욱이 본 발명의 기술적 해법의 대상물 또는 선행 기술들에 기여하는 부분들은 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 기계 판독 가능한 기록 매체에 기록될 수 있다. 상기 기계 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 기계 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 분야의 통상의 기술자에게 공지되어 사용 가능한 것일 수도 있다. 기계 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD, Blu-ray와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령어의 예에는, 전술한 장치들 중 어느 하나뿐만 아니라 프로세서, 프로세서 아키텍처 또는 상이한 하드웨어 및 소프트웨어의 조합들의 이종 조합, 또는 다른 어떤 프로그램 명령어들을 실행할 수 있는 기계 상에서 실행되기 위하여 저장 및 컴파일 또는 인터프리트될 수 있는, C와 같은 구조적 프로그래밍 언어, C++ 같은 객체지향적 프로그래밍 언어 또는 고급 또는 저급 프로그래밍 언어(어셈블리어, 하드웨어 기술 언어들 및 데이터베이스 프로그래밍 언어 및 기술들)를 사용하여 만들어질 수 있는바, 기계어 코드, 바이트코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 이에 포함된다.
따라서 본 발명에 따른 일 태양에서는, 앞서 설명된 방법 및 그 조합들이 하나 이상의 연산 장치들에 의하여 수행될 때, 그 방법 및 방법의 조합들이 각 단계들을 수행하는 실행 가능한 코드로서 실시될 수 있다. 다른 일 태양에서는, 상기 방법은 상기 단계들을 수행하는 시스템들로서 실시될 수 있고, 방법들은 장치들에 걸쳐 여러 가지 방법으로 분산되거나 모든 기능들이 하나의 전용, 독립형 장치 또는 다른 하드웨어에 통합될 수 있다. 또 다른 일 태양에서는, 위에서 설명한 프로세스들과 연관된 단계들을 수행하는 수단들은 앞서 설명한 임의의 하드웨어 및/또는 소프트웨어를 포함할 수 있다. 그러한 모든 순차 결합 및 조합들은 본 개시서의 범위 내에 속하도록 의도된 것이다.
예를 들어, 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다. 상기 하드웨어 장치는, 프로그램 명령어를 저장하기 위한 ROM/RAM 등과 같은 메모리와 결합되고 상기 메모리에 저장된 명령어들을 실행하도록 구성되는 MPU, CPU, GPU, TPU와 같은 프로세서를 포함할 수 있으며, 외부 장치와 신호를 주고받을 수 있는 입출력부를 포함할 수 있다. 덧붙여, 상기 하드웨어 장치는 개발자들에 의하여 작성된 명령어들을 전달받기 위한 키보드, 마우스, 기타 외부 입력장치를 포함할 수 있다.
이상에서 본 발명이 구체적인 구성요소 등과 같은 특정 사항들과 한정된 실시 예 및 도면에 의해 설명되었으나, 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명이 상기 실시 예들에 한정되는 것은 아니며, 본 발명이 속하는 기술분야에서 통상적인 지식을 가진 사람이라면 이러한 기재로부터 다양한 수정 및 변형을 꾀할 수 있다.
따라서, 본 발명의 사상은 상기 설명된 실시 예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등하게 또는 등가적으로 변형된 모든 것들은 본 발명의 사상의 범주에 속한다고 할 것이다.
그와 같이 균등하게 또는 등가적으로 변형된 것에는, 예컨대 본 발명에 따른 방법을 실시한 것과 동일한 결과를 낼 수 있는, 논리적으로 동치(logically equivalent)인 방법이 포함될 것인바, 본 발명의 진의 및 범위는 전술한 예시들에 의하여 제한되어서는 아니되며, 법률에 의하여 허용 가능한 가장 넓은 의미로 이해되어야한다.

Claims (6)

  1. 오류 주입 공격 방법에 있어서,
    정상 암호문 및 오류 암호문을 수신하는 단계;
    상기 오류 암호문이 서브 바이트(Subbytes)함수 생략에 기초하여 생성되었는 지 여부를 결정하는 단계;
    상기 오류 암호문이 서브 바이트 함수 생략에 기초하여 생성된 경우, 상기 정상 암호문 및 오류 암호문의 차분에 기초하여 후보 비밀 키 집합을 산출하는 단계;
    상기 후보 비밀 키 집합에 대한 검증을 수행하는 단계; 및
    검증이 성공한 후보 비밀 키를 최종 비밀 키로 결정하는 단계
    를 포함하고,
    상기 후보 비밀 키 집합을 산출하는 단계는,
    수학식 1 내지 수학식 3에 기초하여 수행되며,
    상기 수학식 1은
    Figure 112021107432497-pat00030
    이고,
    상기 수학식 2는
    Figure 112021107432497-pat00031
    이고,
    상기 수학식 3은
    Figure 112021107432497-pat00032
    이며,
    상기
    Figure 112021107432497-pat00033
    는 정상 암호문, 상기
    Figure 112021107432497-pat00034
    는 오류 암호문, 상기
    Figure 112021107432497-pat00035
    는 마지막 라운드의 서브 바이트 함수에 대한 입력, 상기
    Figure 112021107432497-pat00036
    는 AES의 Sbox, 상기
    Figure 112021107432497-pat00037
    는 마지막 라운드의 비밀키에 대한 후보 비밀키, 상기
    Figure 112021107432497-pat00038
    는 XOR 연산을 의미하는, 오류 주입 공격 방법.

  2. 삭제
  3. 제1항에 있어서,
    상기 검증을 수행하는 단계는,
    상기 후보 비밀 키 집합에 각각의 후보 비밀 키를 암호화하는 단계;
    상기 암호화된 후보 비밀 키 중 정상 암호문에 대응되는 후보 비밀키를 검증이 성공한 후보 비밀 키로 결정하는 단계
    를 포함하는, 오류 주입 공격 방법.
  4. 제1항에 있어서,
    상기 오류 암호문이 서브 바이트(Subbytes)함수 생략에 기초하여 생성되었는 지 여부를 결정하는 단계는,
    상기 오류 암호문이 수학식 4에 기초하여 표현되는 집합 P에 포함된 경우, 상기 오류 암호문을 서브 바이트 함수 생략에 기초하여 생성된 오류 암호문으로 결정하는 단계
    를 포함하고,
    상기 수학식 4는,
    Figure 112021080514915-pat00039
    이고,
    상기 집합 P는 수학식 2를 충족시킬 수 있는 차분 값의 집합이고, 상기
    Figure 112021080514915-pat00040
    는 수학식 5로 표현되고,
    상기 수학식 5는,
    Figure 112021080514915-pat00041
    이고,
    상기
    Figure 112021080514915-pat00042
    는 x개의 원소를 가지는 수학식 6으로 표현되는
    Figure 112021080514915-pat00043
    의 개별 원소를 포함하는 집합이고,
    상기 수학식 6은,
    Figure 112021080514915-pat00044
    이고,
    상기
    Figure 112021080514915-pat00045
    는 상기 수학식 2에 따른 차분 집합, 상기 J는 상기
    Figure 112021080514915-pat00046
    의 원소, 상기 j는 개별 원소의 값인, 오류 주입 공격 방법.
  5. 컴퓨팅 장치로 하여금, 제1항의 방법을 수행하도록 구현된 명령어(instructions)를 포함하는 프로그램이 수록된 기계 판독 가능한 비일시적 기록 매체.
  6. 오류 주입 공격 장치에 있어서,
    입력 암호문을 수신하는 통신부; 및
    프로세서
    를 포함하고,
    상기 프로세서는,
    정상 암호문 및 오류 암호문을 수신하고,
    상기 오류 암호문이 서브 바이트(SubBytes)함수 생략에 기초하여 생성되었는 지 여부를 결정하고,
    상기 오류 암호문이 서브 바이트 함수 생략에 기초하여 생성된 경우, 상기 정상 암호문 및 오류 암호문의 차분에 기초하여 후보 비밀 키 집합을 산출하고,
    상기 후보 비밀 키 집합에 대한 검증을 수행하고,
    검증이 성공한 후보 비밀 키를 최종 비밀 키로 결정하고,
    상기 프로세서는,
    수학식 1 내지 수학식 3에 기초하여 상기 후보 비밀 키 집합을 산출하고,
    상기 수학식 1은
    Figure 112021107432497-pat00047

    이고,
    상기 수학식 2는
    Figure 112021107432497-pat00048
    이고,
    상기 수학식 3은
    Figure 112021107432497-pat00049
    이며,
    상기
    Figure 112021107432497-pat00050
    는 정상 암호문, 상기
    Figure 112021107432497-pat00051
    는 오류 암호문, 상기
    Figure 112021107432497-pat00052
    는 마지막 라운드의 서브 바이트 함수에 대한 입력, 상기
    Figure 112021107432497-pat00053
    는 AES의 Sbox, 상기
    Figure 112021107432497-pat00054
    는 마지막 라운드의 비밀키에 대한 후보 비밀키, 상기
    Figure 112021107432497-pat00055
    는 XOR 연산을 의미하는, 오류 주입 공격 장치.
KR1020200151284A 2020-11-04 2020-11-12 오류 주입 공격 장치 및 방법 KR102344915B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20200145904 2020-11-04
KR1020200145904 2020-11-04

Publications (1)

Publication Number Publication Date
KR102344915B1 true KR102344915B1 (ko) 2021-12-30

Family

ID=79178458

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200151284A KR102344915B1 (ko) 2020-11-04 2020-11-12 오류 주입 공격 장치 및 방법

Country Status (1)

Country Link
KR (1) KR102344915B1 (ko)

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
JeaHoon Park 외, "Fault Attack for the Iterative Operation of AES S-Box", IEEE (2011.02.11.)* *
최두식 외, "오류 주입을 이용한 Triple DES에 대한 라운드 축소 공격", 정보보호학회논문지 21(2) 91-100 페이지 (2011.04.)* *

Similar Documents

Publication Publication Date Title
CN109040090B (zh) 一种数据加密方法及装置
US10354064B2 (en) Computer implemented method and a system for controlling dynamically the execution of a code
US20130156180A1 (en) Method And Device For Securing Block Ciphers Against Template Attacks
CN106878013B (zh) 一种文件的加密、解密方法和装置
EP3316160A1 (en) Authentication method and apparatus for reinforced software
Ronen et al. Pseudo constant time implementations of TLS are only pseudo secure
US9961057B2 (en) Securing a cryptographic device against implementation attacks
KR101305627B1 (ko) 암호 연산 장치 및 메모리 시스템
US20180287779A1 (en) White-box cryptography method and apparatus for preventing side channel analysis
CN111066077B (zh) 加密装置、加密方法、解密装置以及解密方法
US20150012968A1 (en) Information processing system
CN114513311B (zh) 一种改进消息认证码算法的方法、装置、设备和介质
US20230139104A1 (en) Authenticated encryption apparatus, authenticated decryption apparatus, authenticated encryption system, method, and computer readable medium
WO2016063512A1 (ja) Macタグリスト生成装置、macタグリスト検証装置、macタグリスト生成方法、macタグリスト検証方法およびプログラム記録媒体
EP2286610B1 (en) Techniques for peforming symmetric cryptography
KR101903246B1 (ko) 얼굴 이미지로부터 암호 키를 생성하는 방법 및 시스템
KR102344915B1 (ko) 오류 주입 공격 장치 및 방법
KR102331835B1 (ko) 오류 주입 공격 시스템
KR102306636B1 (ko) 차분 오류 공격 방법 및 장치
JP2017073716A (ja) タグリスト生成装置、タグリスト検証装置、タグリスト更新装置、タグリスト生成方法及びプログラム
CN109255225A (zh) 基于双重身份认证的硬盘数据安全管理装置
CN116781265A (zh) 一种数据加密的方法和装置
KR20210072711A (ko) 사물인터넷 디바이스와 신뢰 서버 간 상호 인증 방법 및 장치
US11095429B2 (en) Circuit concealing apparatus, calculation apparatus, and program
US10020944B2 (en) Device and method for discontinuous hashing of digital data

Legal Events

Date Code Title Description
GRNT Written decision to grant