KR20030061497A - 중국인 나머지 정리(crt) 기반의 오류 공격에 대응하는 방법 및 그 장치 - Google Patents

중국인 나머지 정리(crt) 기반의 오류 공격에 대응하는 방법 및 그 장치 Download PDF

Info

Publication number
KR20030061497A
KR20030061497A KR1020020002017A KR20020002017A KR20030061497A KR 20030061497 A KR20030061497 A KR 20030061497A KR 1020020002017 A KR1020020002017 A KR 1020020002017A KR 20020002017 A KR20020002017 A KR 20020002017A KR 20030061497 A KR20030061497 A KR 20030061497A
Authority
KR
South Korea
Prior art keywords
error
calculating
attack
crt
chinese
Prior art date
Application number
KR1020020002017A
Other languages
English (en)
Other versions
KR100431286B1 (ko
Inventor
옌성밍
김승주
임선간
문상재
심경아
송보연
김홍근
김동렬
이언경
Original Assignee
한국정보보호진흥원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국정보보호진흥원 filed Critical 한국정보보호진흥원
Priority to KR10-2002-0002017A priority Critical patent/KR100431286B1/ko
Publication of KR20030061497A publication Critical patent/KR20030061497A/ko
Application granted granted Critical
Publication of KR100431286B1 publication Critical patent/KR100431286B1/ko

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3006Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
    • H04L9/302Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 중국인 나머지 정리(CRT) 기반의 오류 공격에 대응하는 방법 및 그 장치를 개시한다.
본 발명은 소수에 대해 공개모듈러스를 만족하는 공개키와 비밀키에 대해 RSA 공개키암호의 복호화 또는 전자서명 생성을 위한 비밀연산의 연산방법을의 하나의 소인수와 관련된 연산단계에서 오류가 생기면 그 오류가의 다른 소인수와 관련된 연산단계의 오류로 확산될 수 있도록 하여, 효율성을 개선하기 위해 널리 사용되는 CRT(중국인 나머지 정리)를 이용한의 계산에서 생길 수 있는 CRT 오류공격을 견디는 효과가 있다. 본 발명에 따른 연산 방법은 기존의 RSA 시스템에 사용되는 핵심인 모듈라 연산 엔진의 구조를 변경하지 않으므로 기존 시스템과 완전한 호환성을 갖는다. 안전성을 결정짓는 비교 연산이 없으므로 안전성에 대한 신뢰를 높여 주며, 하나의 인수에 대한 오류가 있으면 다른 인수에까지 그 오류가 파급되어 원래의 오류로 인한

Description

중국인 나머지 정리(CRT) 기반의 오류 공격에 대응하는 방법 및 그 장치 {Method for preventing the CRT-based fault attack of and apparatus thereof}
본 발명은 보안 분야에 관한 것으로서, CRT 기반의 오류 공격에 대응하며, 특히 RSA 암호 시스템에 대한 CRT 기반의 오류 공격에 대응하는 방법과 그 장치에 관한 것이다.
지금까지 암호학자들은 수학적 암호공격에 대해서만 안전한 암호 알고리듬을 개발해 왔다. 한편 최근에 데이터의 암복호 모델에서 전력소비, 수행시간, 오동작 및 전자기파 방사 등과 같은 사이드 채널(side-channel)의 정보로 물리적인 방법의 공격이 가능하게 되었다.
공개 채널상의 정보와 사이드 채널로 유출되는 정보를 이용하여 암호적인 공격이 가능한데, 이러한 공격을 일컬어 사이드 채널 공격 혹은 부채널 공격이라 한다. 사이드 채널 공격으로 1996년 Paul Kocher에 의해 제안된 시차공격이 최초이며, 이 공격 방법은 사이드 채널 상의 암호 연산의 수행시간 정보를 분석하여 비밀키를 알아내는 것이다.
시차공격이외에도 암호연산 시에 오류를 주입하여 공격하는 오류공격, 암호 연산이 수행되는 시간동안 하드웨어를 통해 발산되는 전력의 소비량을 정보로 공격하는 전력분석공격 등이 제안되었다. 이와 같은 사이드 채널 공격들이 제안되기 전까지는 암호 알고리듬과 프로토콜은 수학적인 바탕에서만 안전하면 되는 것으로 인식되었으나 실제적으로 사이드 채널 공격들이 성공적인 공격 방법과 실험 결과들을 제시함으로 인해 이제는 암호 알고리듬과 프로토콜을 구현할 시에는 사이드 채널 공격에 대해 안전한지를 반드시 고려하여야 한다.
본 발명에서는 중국인 나머지 정리(Chinese Reminder Theorem, 이하 'CRT' 라 함) 기반 RSA 암호 시스템에 대한 오류 공격에 대해서 다룬다. 특히 최근 Shamir가 특허로 제안한 대응방법을 분석하고 이를 개선한 본 발명에 따른 대응방법에 대해 자세하게 설명한다.
RSA 공개키(서명 검증키) 암호기법에서 비밀키 연산(RSA를 사용한 암호화 기법이라면 복호화에 비밀키 연산이 들어가는 것이고, RSA를 이용한 전자서명기법이라면 서명 생성시에 비밀키 연산이 필요하게 됨)에 요구되는 연산량을 줄이기 위해 CRT를 비밀키 연산에 적용시키는 방법이 많이 사용되고 있다.
이하에서는 대표적인 공개키 암호 시스템인 RSA 공개키 암호 시스템에 대해서 사이드 채널 공격으로 알려진 것 오류 공격 방법에 대해 기술한다.
- 오류 공격 방법(fault cryptanalysis)
1996년 Bellcore사의 D. Boneh et al.은 "New threat model breaks crypto codes: a new 'Potential serious problem' was reported"라는 논문에서 RSA 공개키 암호 방식에서의 새로운 공격방법인 하드웨어 오류 공격(hardware fault cryptanalysis, 이하 fault analysis 혹은 fault attack)을 처음으로 소개하였다. 오류 공격 방법은 공격 대상에 대해 능동적인 조작을 가하지 않고 단지 암호 알고리듬의 수행 시간, 소비 전력 등의 정보만을 취하는 시차 공격 방법과 전력 공격 방법과는 달리 능동적인 사이드 채널 공격 방법으로 분류된다. 왜냐하면 공격자가 능동적으로 공격대상인 암호 장치에 의도적인 오류를 주입할 수 있는 상황을 전제로 하기 때문이다.
이하에서는 현재까지 알려진 공개키 암호에 대한 오류 공격 방법 중 RSA 공개키 암호 시스템에 대한 오류 공격 방법을 CRT 방식의 유무에 따라 두 가지 경우로 분류하여 그 공격방법들을 설명한다.
- RSA 암호 시스템에 대한 오류 공격 방법
CRT를 사용하지 않는 RSA 암호 시스템에 대한 오류 공격은 Boneh와 DeMillo, Lipton에 의해 처음으로 제안되었다. 이 오류 공격 방법을 레지스터 오류 공격이라고 한다.
Bao et al.과 Joye et al.은 각각 RSA 암호 시스템에 transient 오류를 이용한 공격을 제안하였다. 이외에도 Yen et al.에 의해 safe-error를 이용한 오류 공격 등도 제안되었다.
이하 CRT 기반의 RSA 암호 시스템에 대한 오류 공격 방법에 대해 설명한다.
- CRT를 이용한 RSA 서명 생성 방법
소수에 대해 공개모듈러스를 만족하는 공개키와 비밀키에 대해 RSA 공개키암호의 복호화 또는 전자서명 생성을 위한 비밀연산을 CRT를 이용하여 계산하는 방법을 간략히 설명하면 아래와 같다. 편의상를 메시지 m에 대해 서명이라고 부른다. CRT 기반의을 계산하는 방법은 다음의 순서를 거친다.
1. 서명 S 생성: 서명자는 p와 q를 이용하여 다음의 식을 생성한다.
, 여기서
, 여기서
, 여기서이고.
여기서는 사전에 계산될 수 있다.
상기의 경우 CRT를 사용하였을 경우의 연산 속도의 향상을 검증하면 아래와 같다.
만약이 k 비트의 크기를 가지는 정수라 하면,를square-and-multiply 알고리듬을 사용하여 구현하면 총 수행 시간은에 비례한다. 그에 비해 CRT를 사용한 경우에 square-and-multiply 알고리듬으로 모듈라 멱승을 구현하면, 각각의 모듈러스에 대하여 멱승의 수행 시간은에 비례하며, 총 서명 생성에는 두 번의 모듈라 멱승이 필요하므로 총 수행시간은에 비례한다. 그러므로, CRT를 사용하는 RSA의 서명생성은 CRT를 사용하지 않은 RSA의 서명 생성보다 이론적으로는 4배 정도로 빠르게 수행되어 진다.
- CRT 기반의 RSA 암호 시스템에 대한 오류 공격
Boneh 등은 상기 [수학식 1]의 서명생성과정에서둘 중 어느 하나만 정확한 값이 아니면 동일한 하나의 메시지에 대해 두 개의 서명(하나의 정확한 서명과 하나의 틀린 서명)을 가진 공격자가을 소인수 분해하는 공격이 가능하다고 제안하였다. 이때에 상기의 CRT 기반 RSA 암호 시스템의 오류 공격은 하나의 평문 메시지에 대하여 오류가 발생한 서명과 발생하지 않은 서명, 두 개의 서명을 필요로 한다.
이후에 Lenstra 등은 하나의 오류가 발생한 서명만 가지고 있는 공격자가 오류 공격을 할 수 있는 방법을 제안하였다. 이 방법에서는 이는 하나의 오류 서명을 가지고 있는 공격자라도 오류 공격이 가능하다는 것을 보여준다. 이는 Boneh 등이 제안한 최초의 오류 공격보다 제약조건이 줄어든 것이므로 보다 실제적이고 강력한공격이라 말할 수 있다.
Boneh 등과 Lenstra 등이 제안한 CRT 기반의 RSA 공개키 암호 시스템에 대한 오류 공격은 오류의 발생원인에 대해서 제약을 받지 않는다. 즉,의 계산과정에서의 오류가 하나의 하드웨어상의 오류이든지, 여러 개의 원인에 의한 오류든지, 혹은 소프트웨어 상의 버그에 의한 것일지라도 그 원인과는 상관없이인 오류만 발생하는 것을 가정으로 하였기 때문에, 이러한 CRT 기반의 RSA 공개키암호방식에 대한 오류 공격은 여러 가지의 오류 공격 중 가장 강력하고 일반적인 공격으로 분류된다.
상기와 같은 공격 방법에 대해 방어를 하는 종래의 방법들은 많은 연산량을 요구하며, 영구적인 결함을 가지고 있는 시스템의 경우에 오류가 생성되었는지를 검증할 방법이 없다.
또한 오류에 대응하는 방안은 모듈라 연산에 필요한 연산량이 많아 연산의 효율성이 떨어지는 것을 피하는 경우에는 감지할 수 없는 오류가 존재할 경우가 확률적으로 높아지므로 안전성이 위협받을 수 있다. 또한 종래의 방법들은 하드웨어 오류 공격에 약하며, 대응하기 위한 구현에 있어 유연한 확장이 어렵다는 문제가 있다.
또한 종래의 기술들은 하나 혹은 그 이상의 비교 연산(혹은 그와 유사한 연산)을 사용해야 한다. 그런데 비교 연산 자체에 오류가 있을 수 있고 그러면 그 오류의 결과는 공격자에게 흘러갈 수 있으며, 인증에 필요한 서명이 누설될 가능성이 커지는 문제가 있다.
본원 발명에 관련된 기술에 대한 참고문서는 다음과 같다. 다음의 참고문서에 기재된 기술들의 상세한 내용에 대해서는 별도로 설명하지 않는다.
- F. Bao, R.H. Deng, Y. Han, A. Jeng, A.D. Narasimbalu, and T. Ngair, "Breaking public key cryptosystems on tamper resistant devices in the presence of transient faults," In Pre-proceedings of the 1997 Security Protocols Workshop, Paris, France, 1997.
- Bellcore Press Release, "New threat model breaks crypto codes," Sept. 1996 or D. Boneh, R.A. DeMillo, and R.J. Lipton, "On the importance of checking cryptographic protocols for faults," In Advances in Cryptology - EUROCRYPT '97, LNCS 1233, PP. 37-51, Springer-Verlag, 1997.
- E.Biham and A. Shamir, "Differential Fault Analysis of Secret Key Cryptosystems," in Proceedings of Advances in Cryptology - CRYPTO '97, pp. 513-525, Springer-Verlag, 1997.
- M. Joye, J.-J.Quisquater, F. Bao, and R.H. Deng, "RSA-type signatures in the presence of transient faults," In Cryptography and Coding, LNCS 1355, pp. 109-121, Springer-Verlag, Berlin, 1997.
- J. Keley, B. Schneier, D. Wagner, and C. Hall, "Side Channel Cryptanalysis of Product Cipher," in Proceedings of ESORICS '98, pp. 97-110, Springer- Verlag, Septemper 1998.
- P. Kocher, "Timing Attacks on Implementations of Diffie-Hellman, RSA, DSS, and Other Systems," in Proceedings of Advances in Cryptology-CRYPTO '96, pp. 104-113, Springer-Verlag, 1996.
- P. Kocher, J. Jaffe, and B. Jun, "Introduction to Differential Power Analysis and Related Attacks," http://www.cryptography.com/dpa/technical, 1998.
- W. Schindler. "A Timing Attack against RSA with the Chinese Remainder Theorem," in Cryptographic Hardware and Embedded Systems - CHES2000, vol. 1965 of LNCS, pages 109-124. Springer-Verlag, August 2000.
- A. Shamir, "How to check modular exponentiation," presented at the rump session of EUROCRYPT '97, Konstanz, Germany, 11-15th May 1997.
- A. Shamir, "Method and apparatus for protecting public key schemes from timing and fault attacks," United States Patent 5991415, Novemeber 23, 1999.
- S.M. Yen and M. Joye, "Checking before output may not be enough against faults-based cryptanalysis," IEEE Trans. on Computers, vol. 49, no. 9, pp. 967-970, Sept. 2000.
본 발명이 이루고자 하는 기술적인 과제는, 상기의 문제점들을 해결하기 위해, 비교 연산과 같은 연산을 하지 않으며, 하나의 인수와 관련된 연산에 오류가발생하는 경우에 다른 인수와 관련된 연산에까지 영향을 미쳐 이전의 오류가의 소인수를 주는 것을 막기 때문에 CRT 기반의 암호 시스템의 CRT 오류에 안전하게 대응하는 방법과 장치를 제공하는 데 있다.
도 1은 본 발명에 따라 RSA 암호 시스템에 대한 순차적 CRT 기반의 오류 공격에 대응하는 방법의 흐름을 도시한 것이다.
도 2는 본 발명에 따라 RSA 암호 시스템에 대한 병렬 CRT 기반의 오류 공격에 대응하는 방법의 흐름을 도시한 것이다.
상기 기술적 과제를 해결하기 위한 본 발명에 의한, 중국인 나머지 정리(CRT) 기반의 공개키를 이용한 알에스에이(RSA) 암호 시스템에 대한 오류 공격에 대응하는 방법에 있어서, 공개키를 이용한 암호화 과정의 비밀키와 관련된 소정의 연산단계에서 하나의 오류가 생겨서 상기 암호시스템에 대한 비밀키의 노출에 대한 공격의 위험이 있는 경우에 상기 오류가 다른 오류를 초래하게 하여 상기 공격이 불가능하게 하는 것을 특징으로 한다.
상기 기술적 과제를 해결하기 위한 본 발명에 의한, 소수에 대해 공개모듈러스를 만족하는 공개키와 비밀키에 대해 알에스에이(RSA) 공개키 암호의 복호화 또는 전자서명 생성을 위한 비밀연산이 순차적으로 계산되는 중국인 나머지 정리(CRT) 기반의 알에스에이 암호 시스템에 대한 오류 공격에 대응하는 방법은,
(a) 중간매개변수,(여기서을 만족하는 작은 정수),을 계산하고, 주어진 메세지 m에 대해,를 각각 계산하는 단계;
(b),,
을 순차적으로 계산하는 단계; 및
(c) 중국인 나머지 정리를 사용한
을 각각 계산한 후에,
서명값 s를으로 계산하여 서명값을 구하는 단계를 포함하는 것을 특징으로 한다.
상기 기술적 과제를 해결하기 위한 본 발명에 의한, 소수에 대해 공개모듈러스를 만족하는 공개키와 비밀키에 대해 알에스에이(RSA) 공개키암호의 복호화 또는 전자서명 생성을 위한 비밀연산이 병렬로 계산되는 중국인 나머지 정리(CRT) 기반의 알에스에이 암호 시스템에 대한 오류 공격에 대응하는 방법은,
(a) 중간 매개변수 ,(여기서을 만족하는 작은 정수),을 계산하고, 주어진 메시지 m에 대해,를 각각 계산하는 단계;
(b)를 각각 계산하는 단계; 및
(c) 중국인 나머지 정리를 사용한
을 계산한 후에, 서명값으로 계산하여 서명값을 구하는 단계를 포함하는 것을 특징으로 한다.
상기 다른 기술적 과제를 해결하기 위한 본 발명에 의한, 소수에 대해 공개모듈러스를 만족하는 공개키와 비밀키에 대해 알에스에이(RSA) 공개키 암호의 복호화 또는 전자서명 생성을 위한 비밀연산이 순차적으로 계산되는 중국인 나머지 정리(CRT) 기반의 알에스에이 암호 시스템에 대한 오류 공격에 대응하는 장치는,
중간매개변수,(여기서을 만족하는 작은 정수),을 계산하고, 주어진 메세지 m에 대해,를 각각 계산하는 수단;
,,
을 순차적으로 계산하는 수단; 및
중국인 나머지 정리를 사용한을 각각 계산한 후에,
서명값 s를으로 계산하여 서명값을 구하는 수단을 포함하는 것을 특징으로 한다.
상기 다른 기술적 과제를 해결하기 위한 본 발명에 의한, 소수에 대해 공개모듈러스를 만족하는 공개키와 비밀키에 대해 알에스에이(RSA) 공개키암호의 복호화 또는 전자서명 생성을 위한 비밀연산이 병렬로 계산되는 중국인 나머지 정리(CRT) 기반의 알에스에이 암호 시스템에 대한 오류 공격에 대응하는 장치에 있어서,
중간 매개변수 ,(여기서을 만족하는 작은 정수),을 계산하고, 주어진 메시지 m에 대해,를 각각 계산하는 수단;
를 각각 계산하는 수단; 및
중국인 나머지 정리를 사용한
을 계산한 후에, 서명값으로 계산하여 서명값을 구하는 수단을 포함하는 것을 특징으로 한다.
이하에서 첨부된 도면을 참조하여 본 발명의 바람직한 일 실시예를 상세히 설명한다.
CRT 기반 RSA 암호시스템에 대한 오류 공격 방법에 대한 종래의 대응 방안에 대해 설명한다. 특히 US Patent #5991415인 Shamir의 오류 공격 대응 방안을 간단하게 설명하고, 그 약점을 해결할 수 있는 본 발명에 따른 오류 공격 대응 방안에 대해 설명한다.
먼저 기존의 CRT 기반 RSA 오류 공격 대응 방안들에 대해 간단히 설명한다.
지금까지 알려진 오류 공격 대응방법들 중 CRT 기반 RSA 암호시스템에 대한오류 공격에 대한 대응방법들은 대략 아래와 같이 분류된다.
1. CRT 오류 공격이중 하나에 대해서만 오류가 생성되었다고 가정하므로, 가장 단순한 공격 방지법은 서명생성 시 두 개의 값가 정당한지를 검사하는 방법이다. 이러한 방법들은를 두 번 연산하거나 검증함수를 통해서 오류가 발생하였지를 검사하는 방법들인데 암호연산 자체가 많은 연산량을 요구하므로 인해서 매우 비효율적이다. 또한 영구적인 결함을 가지고 있는 시스템의 경우에 오류가 생성되었는지를 검증할 방법이 없으므로 이러한 대응방법들은 적절하지 못하다.
2. 두 번째 대응방법은 서명값에 대해 서명검증을 통해 다시 원래의 메시지로 복원하여 오류의 유무를 판별하는 방법인데, 이것 역시 추가적인 멱승 연산을 하고, 큰를 사용하는 경우 많은 연산이 소요되어서 부적절하다.
앞에서 언급하였듯이 CRT 기반의 RSA 서명 오류 공격의 경우 여러 가지 오류 공격들 중에서 CRT 기반 오류 공격의 제약 조건이 적은 오류 발생을 전제로 하고 있어서 일반적이면서 강한 공격으로 알려져 있다. 상기 1, 2의 공격 대응 방안은 모두 검사 과정(checking procedure)를 통한 오류 발생을 확인하는 방식인데, 연산량이 많아서 효율성이 떨어지고, 검사과정 자체가 다른 오류공격의 대상이 될 수도 있고, 하드웨어의 영구적인 결함에 의한 것이라면 대응방안이 불가능하다는 단점이 있다.
Shamir는 상기의 CRT 오류 공격에 대처할 수 있는 대응방안을 Eurocrypt'97Rump Session에서 제안하였고, 이 방안은 특허로 등록되어 있다(US Patent #5991415). Shamir의 대응방법이 가지는 장점은 CRT 기반의 시차 공격에 대해서도 견딜 수 있다는 점이다.
이러한 장점에도 불구하고 Shamir가 제안한 오류 대응 방안이 가지는 문제점은 다음과 같다. 이 방법은 임의의 수 r을 생성하여 이를 이용하는 데, 이때에 이론적으로 감지할 수 없는 오류의 확률이만큼 존재한다. 즉, r은 랜덤 수이므로 그 길이를 가변 시킬 수 있지만, 큰 r을 선택하게 되면 감지할 수 없는 오류가 존재할 확률이 줄어들지만 보다 큰 수에 대해서 모듈라 연산을 취해야 하므로 그만큼 연산의 효율성이 떨어지게 된다. 반대로 작은 r을 선택하면 연산의 효율성이 상대적으로 증가 하지만, 감지할 수 없는 오류가 존재할 경우가 확률적으로 높아지므로 안전성이 위협받을 수 있다. 충분한 안전성을 제공하기 위해서는 r의 비트수가 적어도 32비트가 되어야 한다고 한다.
그리고 검사 과정(Checking procedure)을 가지는 대응 장치는 하드웨어 오류 공격에 약하다. Shamir의 대응방안과 같은 검사과정(checking procedure)을 통한 대응 방안은 본질적으로 하드웨어 오류 공격에 약하고 새로운 오류 공격이 제안되었을 때 유연한 확장이 어렵다. (여기서 말하는 checking procedure는 상기의 1.에서를 두 번 연산하는 과정, 2.에서의 서명을 검증하여 평문 메시지가 원래의 메시지인지 비교하는 과정, 혹은 Shamir의 대응방안에서을 확인하는 과정을 말한다.)
이런 Shamir의 오류 대응 방안의 문제점을 극복하기 위해 본 발명은 검사과정(checking procedure)에 의존하지 않는 새로운 오류 대응 방법을 사용한다. 본 발명은 오류 공격에 대해 안전한 CRT기반의 연산 방법들에 대한 것이다. 이러한 CRT기반의 오류 공격에 견디는 본 발명에 따른 보안 방법을 설계할 때 가장 핵심적인 것은 다음과 같다.
1. 오류 대응을 위한 검사 과정이 없어야 한다.
2. 서명를 생성 시에에 오류가 발생하면 전체 서명뿐만 아니라에 영향을 미치도록 설계를 하자는 것이다. 물론에 오류가 발생하였을 경우도 마찬가지이다. 이는 검사(checking) 과정을 거치는 것이 아니라 오류(fault)가 주입되면 공격이 가능한 요인(즉, 인수분해를 가능하게 하는 요인)에 오류가 발생하여 사실상의 공격이 불가능하도록 한다는 개념(fault infective)이다.
이때에 상기의 2.와 같은 특성을 오류 전염적인 CRT 연산 (fault infective CRT computation)이라 정의할 수 있다.
상기 기술적 과제를 해결하기 위한 본 발명에 의한, 중국인 나머지 정리(CRT) 기반의 알에스에이(RSA) 암호 시스템의 오류 공격에 대응하는 방법은, 중국인 나머지 정리를 이용하여 평문에 대한 암호화된 서명값을 구하는 소정의 인수들간에 하나의 인수와 관련된 연산에서의 소인수분해를 가능하게 하게 할 수 있는 오류가 생겨서 암호시스템에 대한 공격의 위험이 있는 경우에 상기 인수와 관련된 오류가 다른 인수에 대한 오류를 초래하게 하여 상기 암호화된 서명값을 구하는 것을 방지하는 것을 특징으로 한다.
이에 대한 구체화된 본 발명에 따른 방안을 이하에서 설명한다.
도 1은 본 발명에 따른 순차적 CRT 기반의 RSA 암호 시스템의 오류 공격에 대응하는 방법의 흐름을 도시한 것이다.
RSA 알고리듬에 사용하는 파라메터이외에 추가적인 파라메터들을 사용한다.
소수에 대해 공개모듈러스를 만족하는 공개키와 비밀키에 대해 RSA 공개키암호의 복호화 또는 전자서명 생성을 위한 비밀연산을 계산한다.
그 후에 본 발명에 따라 순차적인 중국인 나머지 정리(CRT) 기반의 알에스에이(RSA) 암호 시스템의 오류 공격에 대응하는 방법은 다음과 같다.
중간 매개변수 ,(여기서을 만족하는 작은 정수),을 계산해서 주어진 m에 대해,를 각각 계산한다(100단계).
이때에 gcd(a,b) 함수는 a, b의 최대 공약수를 나타내며,함수는 n에 대한 Euler totient 함수를 나타낸다.
그리고,,을 순차적으로 계산한다(110단계).
그 후에,을 각각 계산하여
을 계산하여 서명 s를 구한다(120단계).
상기의 방법에서 여러 가지 추가적인 파라메터를 서명에 이용할 수 있으며, 제대로 서명이 이뤄지는 지를 검증할 경우 다음과 같이 검증이 이뤄진다.
도 1의 100 단계에서,
이 관계에서
이므로
따라서
이고,
이다.
상기의 경우에 보면, 오류 대응을 위한 검사 과정이 없다. 또한 서명를 생성 시에에 오류가 발생하면에 오류가 발생하게 된다. 하나의 인수에 대한 정보가 유출되어 공격자가 공격할 수 있는 여지가 발생하는 경우라도 다른 인수에대한 오류가 발생하게 하여 공격자가 공격할 수 있는 계산식을 유도하지 못하게 된다.
도 2는 본 발명에 따른 병렬 CRT 기반의 RSA 암호 시스템의 오류 공격에 대응하는 방법의 흐름을 도시한 것이다.
도 1의 경우와 마찬가지로 도 2의 방법의 경우에도 RSA 알고리듬에 사용하는 파라메터이외에 추가적인 파라메터들을 사용한다.
소수에 대해 공개모듈러스를 만족하는 공개키와 비밀키에 대해 RSA 공개키암호의 복호화 또는 전자서명 생성을 위한 비밀연산을 미리 계산한다. 그리고 중간 매개변수 ,(여기서을 만족하는 작은 정수),을 계산해서 주어진 m에 대해,를 각각 계산한다(200단계).
를 각각 계산하고(210단계), CRT를 사용한,을 각각 계산하여 서명값를 계산한다(220단계). 즉, 서명값
로 계산하여 서명값을 구한다.
상기의 경우와 마찬가지로 오류 대응을 위한 검사 과정이 없다. 또한 하나의 인수에 대한 정보가 유출되어 공격자가 공격할 수 있는 여지가 발생하는 경우라도 다른 인수에 관련된 오류가 발생하게 하여 공격자가 공격할 수 있는 계산식을 유도하지 못하게 된다.
본 발명에 따른 방법들은 종래의 기술에 비해 키에 의존적인 검사나 비교 연산을 사용하지 않는다. 종래의 기술들은 하나 혹은 그 이상의 비교 연산(혹은 그와 유사한 연산)을 사용해야 한다. 그런데 비교 연산 자체에 오류가 있을 수 있고 그러면 그 오류의 결과는 공격자에게 흘러갈 수도 있을 것이다.
다음은, 예를 들어 하드웨어 오류 때문에 부적절한 CRT 재조합(recombination)으로 비밀 프라임 팩터(secret pime factor)가 누설되는 경우를 위한 설명이다.
다음의 경우는모두 에러가 없는 것으로 가정한다.
가능한 CRT 재조합의 하나는 다음과 같이 계산된다.
이때에는 미리 계산되어 저장된다. 상기의 방법은 Gauss 알고리즘이라고 불린다. 이때에를 위해 각각 소정 비트의 길이를 가지는 2개의 미리 계산된 값을 저장하는 것이 필요하다.
본 발명에 따른 도 1의 첫 번째 방법에서 참조번호 120 단계에서의 값 중의 하나가 (공격자나 EEPROM 에러 때문에 발생되는) 하드웨어 오류 때문에 정확하지 않은 값이라고 할 때에도 다음의 관계가 성립한다.
그러므로는 미리 계산되어 저장된다면, 공격자나 EEPROM 에러 때문에 발생될 수 있는 오류가 있다하더라도은 p도 q도 제시하지 않는다.
잘 알려진 효율성이 개선된 CRT 재조합 방법인 Garner의 알고리즘이 있으며, 이의 계산은 다음과 같다.
불행히도,의 값에 오류가 있다면 본 발명에 따라 제안된 도 1의 첫 번째 방법의 120 단계에서 다음의 결과가 나온다.
합성수인 n은 다음과 같이 계산되어 인수분해 될 수 있다.
사실상 CRT 재조합에 대한 상기의 하드웨어 오류 공격은 일반적인 것이며 원래의 CRT 가속인 Shamir의 제안에 적용될 수 있으며, 본 발명에 따른 도 2의 두 번째 방법에도 적용될 수 있다. 그러나 원래의 Garner의 알고리즘은 상기에 언급된 하드웨어 오류 암호 해독을 피하기 위해 다음 식과 같이 변경되는 것이 바람직하다.
이때에는 먼저 계산되어 미리 저장되는 것이 바람직하다. 이때에 [수학식 4]의 경우에는 미리 계산된 2개의 값을 저장할 것이 필요했지만 [수학식 9]의 경우에는 미리 계산된 1개의 값만을 저장하면 된다. 따라서 저장 용량을 줄이면서, 미리 계산되어야 할 값의 개수가 작으므로 계산 시간 면에서도 유리하다.
상기에 제안된 변형은 [수학식 1] 혹은 [수학식 4]의 원래의 것보다 약간 더 많은 계산을 필요로 한다. 그러나 X`의 값이 하드웨어 오류 때문에 바르지 않은 경우에도 CRT 재조합은 상기에 언급된 공격을 받더라도 여전히 안전하다는 것을 쉽게 확인할 수 있다.
의 오류에 전염된 계산으로 Gauss의 알고리즘과 변형된 Garner의 알고리즘 또한 오류 전염적인 속성은,의 값이 바르지 않고, X의 값도 바르지 않다면, 다음 식과 같이 표시된다.
그러므로에 오류가 없다면 (또는 두 값 모두 바르지 않다면), n은를 계산해서는 인수분해 되지 않는다. CRT 재조합의 과정을 주의깊게 선택하면 CRT 기반의 하드웨어 오류 공격을 막는데 도움이 될 것이다.
다음은 시차 공격 저항에 대한 개선된 본 발명에 따른 방법을 설명한다.
Shamir의 방법은 이진 탐색 접근에 의한 시차 암호 해독을 방어할 수 있다.
본 발명에 따른 도 1과 도 2의 방법에서=[m/p],=[m/q] 연산에 대해서 이진 탐색 시차 암호해독이 가능하다.
a<q 인 경우에에 대한 연산에 아주 작은 시간이 걸린다고 가정한다. 시차 통계치를 관측하여 p의 값을 근사화 하기 위해 공격자가 고의적으로 비교적 큰 수과 비교적 작은 수를 반복하여 공급할 수 있다.
상기의 두 가지 시차 암호 해독에 대항하기 위해 본 발명에 따른 두 가지 보안 방법을 개선하기 위한 방법을 설명한다.
모듈로 p(혹은 모듈로 q)에 대한 이진탐색 공격에 대항하기 위해 R >>p인 임의의 정수 R = kㆍp(k는 임의의 정수)를 선택한다. 그러면 CRT 계산을 위한(혹은) 파라메타를 얻기 위한 원래의 프로세스는 다음의 식과 같이 변형되는것이 바람직하다.
이때에 R은 미리 마스킹(pre-masking)되어 사용되었으며, R mod p = 0 이기 때문에 나중에 마스킹(post-masking)하는 것은 필요하지 않다.를 계산하기 위해서는 임의의 정수 R이 kㆍq가 되기 위해 선택된다.
(혹은) 연산에 대한 이진 탐색 공격에 대항하기 위해 임의의 정수 R = k ㆍp(k는 임의의 정수)를 선택한다. 그러면(혹은)를 계산하기 위한 원래의 과정은 다음의 식과 같이 변형되는 것이 바람직하다.
이때에 R은 미리 마스킹되어 사용되었으며,이므로 k는 나중에 마스킹되어 사용된 것이다.를 계산하기 위해서는 임의의 정수 R이 kㆍq가 되기 위해 선택된다.
임의의 정수 R(>>p, q)가 모듈로 p나연산에 앞서서 메시지 m에 덧붙여지면, (공격자가 고의적으로 비교적 큰 수과 비교적 작은 수를 공급함으로 해서) 모듈로 p나가 실행되었는지에 대한 타이밍 특성이 공격자에 의해 접근될 수 없다.
p(혹은 q)를 발견하기 위한 이전 탐색 시차 암호 해독을 격퇴하는 같은 속성을 가지면서, 상기에 제안된 기술은 구현의 관점에서 볼 때에 Shamir의 방법보다 작은 오버헤드를 갖는다. Shamir의 방법에서는 구현에 있어 불편함을 주거나 현존하는 대부분의 프로세서들에게는 복잡함을 가져오는 확장된 모듈러스를 필요로 한다. 그러나 상기 제안에는 확장 모듈러스는 전혀 필요하지 않다.
CRT와 같이 사용되는 RSA에 대한 하드웨어 오류 공격은 공격자에 의해 오직 하나의 오류 결과가 이용 가능해도 적용될 수 있다. 다른 물리적인 공격과는 매우 다른 것이며, 잘 개발된 대응 방법이 필요하다. 이는 CRT와 같이 사용되는 RSA가 작은 장치(예를 들면 스마트 카드)에서부터 큰 서버들에 기반한 수많은 응용 분야까지 전 세계적으로 채택되어 있기 때문에 매우 중요하다. 그러나 본 발명에 따른 방법들은 만족한 결과를 제공한다.
이전의 모든 암호 솔루션들은 (공격자들에 의해 접근되는 것을 막기 위해) 오류 결과를 제거하거나 이 오류 결과를 출력할 수 없게 하는 것을 필요로 하고 있다. 어떤 경우에는 아주 높은 신뢰성을 가지면서 이러한 필요 사항이 구현되는 것이 어렵다. 그러나 본 발명에 따른 두 가지의 보안 방법은 만족한 결과를 제공한다.
본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 본 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 상기의 설명에 포함된 예들은 본 발명에 대한 이해를 위해 도입된 것이며, 이 예들은 본 발명의 사상과 범위를 한정하지 않는다.
또한 상기의 예들 외에도 본 발명에 따른 다양한 실시 태양이 가능하다는 것은, 본 발명이 속한 기술 분야에 통상의 지식을 가진 사람에게는 자명할 것이다. 본 발명의 범위는 전술한 설명이 아니라 청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
또한 본 발명에 따른 상기의 각 단계는 일반적인 프로그래밍 기법을 이용하여 소프트웨어적으로 또는 PLD와 같은 프로그래밍 소자를 포함하여 하드웨어적으로 다양하게 구현할 수 있다는 것은 이 분야에 통상의 기술을 가진 자라면 용이하게 알 수 있는 것이다.
그리고 본 발명의 모든 단계들은, 또한, 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록장치를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, CD-RW, 자기 테이프, 플로피디스크, HDD, 광 디스크, 광자기 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현되는 것도 포함한다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드로 저장되고 실행될 수 있다.
본 발명은 소수에 대해 공개모듈러스를 만족하는 공개키와 비밀키에 대해 RSA 공개키암호의 복호화 또는 전자서명 생성을 위한 비밀연산의 연산방법을의 하나의 소인수와 관련된 연산단계에서 오류가 생기면 그 오류가의 다른 소인수와 관련된 연산단계의 오류로 확산될 수 있도록 하여, 효율성을 개선하기 위해 널리 사용되는 CRT(중국인 나머지 정리)를 이용한의 계산에서 생길 수 있는 CRT 오류공격을 견디는 효과가 있다. 본 발명에 따른 연산 방법은 기존의 RSA 시스템에 사용되는 핵심인 모듈라 연산 엔진의 구조를 변경하지 않으므로 기존 시스템과 완전한 호환성을 갖는다. 안전성을 결정짓는 비교 연산이 없으므로 안전성에 대한 신뢰를 높여 주며, 하나의 인수에 대한 오류가 있으면 다른 인수에까지 그 오류가 파급되어 원래의 오류로 인한의 인수분해를 불가능하게 함으로써 안전하게 CRT 오류에 대한 방어를 할 수 있다.

Claims (8)

  1. 중국인 나머지 정리(CRT) 기반의 공개키를 이용한 알에스에이(RSA) 암호 시스템에 대한 오류 공격에 대응하는 방법에 있어서,
    공개키를 이용한 암호화 과정의 비밀키와 관련된 소정의 연산단계에서 하나의 오류가 생겨서 상기 암호시스템에 대한 비밀키의 노출에 대한 공격의 위험이 있는 경우에 상기 오류가 다른 오류를 초래하게 하여 상기 공격이 불가능하게 하는 것을 특징으로 하는 암호 시스템에 대한 중국인 나머지 정리 기반의 오류 공격에 대응하는 방법.
  2. 소수에 대해 공개모듈러스를 만족하는 공개키와 비밀키에 대해 알에스에이(RSA) 공개키 암호의 복호화 또는 전자서명 생성을 위한 비밀연산이 순차적으로 계산되는 중국인 나머지 정리(CRT) 기반의 알에스에이 암호 시스템에 대한 오류 공격에 대응하는 방법에 있어서,
    (a) 중간매개변수,(여기서을 만족하는 작은 정수),을 계산하고, 주어진 메세지 m에 대해,를 각각 계산하는 단계;
    (b),
    ,
    을 순차적으로 계산하는 단계; 및
    (c) 중국인 나머지 정리를 사용한
    을 각각 계산한 후에,
    서명값 s를으로 계산하여 서명값을 구하는 단계를 포함하는 것을 특징으로 하는 알에스에이 암호 시스템에 대한 중국인 나머지 정리 기반의 오류 공격에 대응하는 방법.
  3. 소수에 대해 공개모듈러스를 만족하는 공개키와 비밀키에 대해 알에스에이(RSA) 공개키암호의 복호화 또는 전자서명 생성을 위한 비밀연산이 병렬로 계산되는 중국인 나머지 정리(CRT) 기반의 알에스에이 암호 시스템에 대한 오류 공격에 대응하는 방법에 있어서,
    (a) 중간 매개변수 ,(여기서을 만족하는 작은 정수),을 계산하고, 주어진 메시지 m에 대해,를 각각 계산하는 단계;
    (b)를 각각 계산하는 단계; 및
    (c) 중국인 나머지 정리를 사용한
    을 계산한 후에, 서명값으로 계산하여 서명값을 구하는 단계를 포함하는 것을 특징으로 하는 알에스에이 암호 시스템에 대한 중국인 나머지 정리 기반의 오류 공격에 대응하는 방법.
  4. 제2항 또는 제3항에 있어서,
    으로 정의되는 CRT의 재조합에서, 상기 (c) 단계를 계산하기 전에를 미리 계산해서 저장한 후에 이를 이용해서 상기 (c) 단계의 계산을 실행하는 것을 특징으로 하는 알에스에이 암호 시스템에 대한 중국인 나머지 정리 기반의 오류 공격에 대응하는 방법.
  5. 제2항 또는 제3항에 있어서, 시차 공격에 대응하기 위해, 상기 (a) 단계에서,
    R = k ㆍp(k는 임의의 정수)인 경우, 상기의 값을
    로 구하는 것을 특징으로 하는 알에스에이 암호 시스템에 대한 중국인 나머지 정리 기반의 오류 공격에 대응하는 방법.
  6. 제2항 또는 제3항에 있어서, 시차 공격에 대응하기 위해, 상기 (a) 단계에서,
    R = k ㆍq(k는 임의의 정수)인 경우, 상기의 값을
    로 구하는 것을 특징으로 하는 알에스에이 암호 시스템에 대한 중국인 나머지 정리 기반의 오류 공격에 대응하는 방법.
  7. 소수에 대해 공개모듈러스를 만족하는 공개키와 비밀키에 대해 알에스에이(RSA) 공개키 암호의 복호화 또는 전자서명 생성을 위한 비밀연산이 순차적으로 계산되는 중국인 나머지 정리(CRT) 기반의 알에스에이 암호 시스템에 대한 오류 공격에 대응하는 장치에 있어서,
    중간매개변수,(여기서을 만족하는 작은 정수),을 계산하고, 주어진 메세지 m에 대해,를 각각 계산하는 수단;
    ,,
    을 순차적으로 계산하는 수단; 및
    중국인 나머지 정리를 사용한을 각각 계산한 후에,
    서명값 s를으로 계산하여 서명값을 구하는 수단을 포함하는 것을 특징으로 하는 알에스에이 암호 시스템에 대한 중국인 나머지 정리 기반의 오류 공격에 대응하는 장치.
  8. 소수에 대해 공개모듈러스를 만족하는 공개키와 비밀키에 대해 알에스에이(RSA) 공개키암호의 복호화 또는 전자서명 생성을 위한 비밀연산이 병렬로 계산되는 중국인 나머지 정리(CRT) 기반의 알에스에이 암호 시스템에 대한 오류 공격에 대응하는 장치에 있어서,
    중간 매개변수 ,(여기서을 만족하는 작은 정수),을 계산하고, 주어진 메시지 m에 대해,를 각각 계산하는 수단;
    를 각각 계산하는 수단; 및
    중국인 나머지 정리를 사용한
    을 계산한 후에, 서명값으로 계산하여 서명값을 구하는 수단을 포함하는 것을 특징으로 하는 알에스에이 암호 시스템에 대한 중국인 나머지 정리 기반의 오류 공격에 대응하는 장치.
KR10-2002-0002017A 2002-01-14 2002-01-14 중국인 나머지 정리(crt) 기반의 오류 공격에 대응하는 방법 및 그 장치 KR100431286B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR10-2002-0002017A KR100431286B1 (ko) 2002-01-14 2002-01-14 중국인 나머지 정리(crt) 기반의 오류 공격에 대응하는 방법 및 그 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR10-2002-0002017A KR100431286B1 (ko) 2002-01-14 2002-01-14 중국인 나머지 정리(crt) 기반의 오류 공격에 대응하는 방법 및 그 장치

Publications (2)

Publication Number Publication Date
KR20030061497A true KR20030061497A (ko) 2003-07-22
KR100431286B1 KR100431286B1 (ko) 2004-05-12

Family

ID=32217939

Family Applications (1)

Application Number Title Priority Date Filing Date
KR10-2002-0002017A KR100431286B1 (ko) 2002-01-14 2002-01-14 중국인 나머지 정리(crt) 기반의 오류 공격에 대응하는 방법 및 그 장치

Country Status (1)

Country Link
KR (1) KR100431286B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100431047B1 (ko) * 2002-02-26 2004-05-12 주홍정보통신주식회사 Crt에 기초한 rsa 공개키 암호화 방식을 이용한디지털 서명방법 및 그 장치
KR100619025B1 (ko) * 2004-06-03 2006-08-31 삼성전자주식회사 구성원 비밀 정보 할당 방법, 할당된 비밀 정보를 이용한 키 합의 방법, 및 할당된 비밀 정보를 이용한 구성원 인증 방법
KR100953715B1 (ko) * 2008-01-22 2010-04-19 고려대학교 산학협력단 Crt-rsa 모듈라 지수승 알고리즘을 이용한 디지털서명 방법, 그 장치 및 이를 기록한 컴퓨터 판독가능 저장매체
KR100953716B1 (ko) * 2008-02-28 2010-04-19 고려대학교 산학협력단 Crt-rsa 기반의 비트 연산을 이용한 디지털 서명방법, 그 장치 및 이를 기록한 기록 매체
KR101112570B1 (ko) * 2010-04-12 2012-03-13 고려대학교 산학협력단 전력 분석 및 오류 주입 공격에 안전한 디지털 서명 장치, 방법 및 그 기록 매체

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100954844B1 (ko) 2008-10-07 2010-04-28 고려대학교 산학협력단 오류 주입 공격에 안전한 crt-rsa 모듈러 지수승 알고리즘을 이용한 디지털 서명 방법, 그 장치 및 이를 기록한 기록매체
KR102180029B1 (ko) 2014-02-03 2020-11-17 삼성전자 주식회사 Crt-rsa 암호화 방법 및 장치와 이를 기록한 컴퓨터 판독가능 저장매체

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5991415A (en) * 1997-05-12 1999-11-23 Yeda Research And Development Co. Ltd. At The Weizmann Institute Of Science Method and apparatus for protecting public key schemes from timing and fault attacks
JP3835896B2 (ja) * 1997-07-30 2006-10-18 富士通株式会社 素数生成装置,B−smooth性判定装置及び記録媒体
DE69834431T3 (de) * 1998-01-02 2009-09-10 Cryptography Research Inc., San Francisco Leckresistentes kryptographisches verfahren und vorrichtung
US6144740A (en) * 1998-05-20 2000-11-07 Network Security Technology Co. Method for designing public key cryptosystems against fault-based attacks with an implementation

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100431047B1 (ko) * 2002-02-26 2004-05-12 주홍정보통신주식회사 Crt에 기초한 rsa 공개키 암호화 방식을 이용한디지털 서명방법 및 그 장치
KR100619025B1 (ko) * 2004-06-03 2006-08-31 삼성전자주식회사 구성원 비밀 정보 할당 방법, 할당된 비밀 정보를 이용한 키 합의 방법, 및 할당된 비밀 정보를 이용한 구성원 인증 방법
KR100953715B1 (ko) * 2008-01-22 2010-04-19 고려대학교 산학협력단 Crt-rsa 모듈라 지수승 알고리즘을 이용한 디지털서명 방법, 그 장치 및 이를 기록한 컴퓨터 판독가능 저장매체
KR100953716B1 (ko) * 2008-02-28 2010-04-19 고려대학교 산학협력단 Crt-rsa 기반의 비트 연산을 이용한 디지털 서명방법, 그 장치 및 이를 기록한 기록 매체
KR101112570B1 (ko) * 2010-04-12 2012-03-13 고려대학교 산학협력단 전력 분석 및 오류 주입 공격에 안전한 디지털 서명 장치, 방법 및 그 기록 매체

Also Published As

Publication number Publication date
KR100431286B1 (ko) 2004-05-12

Similar Documents

Publication Publication Date Title
Genkin et al. May the fourth be with you: A microarchitectural side channel attack on several real-world applications of curve25519
Prouff et al. Masking against side-channel attacks: A formal security proof
EP0986873B1 (en) Improved method and apparatus for protecting public key schemes from timing and fault attacks
Boscher et al. CRT RSA algorithm protected against fault attacks
Vigilant RSA with CRT: A new cost-effective solution to thwart fault attacks
EP3596876B1 (en) Elliptic curve point multiplication device and method for signing a message in a white-box context
Ambrose et al. Differential attacks on deterministic signatures
JP2001337599A (ja) 楕円曲線暗号におけるスカラー倍計算方法及び装置、並びに記憶媒体
Kim et al. How can we overcome both side channel analysis and fault attacks on RSA-CRT?
JP2011530093A (ja) 累乗法による暗号化を保護する解決策
Clavier et al. Reverse engineering of a secret AES-like cipher by ineffective fault analysis
Fumaroli et al. Blinded fault resistant exponentiation
KR100652377B1 (ko) 모듈라 지수승 알고리즘, 기록매체 및 시스템
JP2011510579A (ja) 署名ダイアグラムを用いた非対称暗号方式のための対策方法およびデバイス
KR100699836B1 (ko) 스칼라 곱에서 dfa 대책을 위한 장치 및 방법
Barthe et al. Making RSA–PSS provably secure against non-random faults
EP3698262B1 (en) Protecting modular inversion operation from external monitoring attacks
KR100431286B1 (ko) 중국인 나머지 정리(crt) 기반의 오류 공격에 대응하는 방법 및 그 장치
Fouque et al. Defeating countermeasures based on randomized BSD representations
Boscher et al. Masking does not protect against differential fault attacks
KR100431047B1 (ko) Crt에 기초한 rsa 공개키 암호화 방식을 이용한디지털 서명방법 및 그 장치
Seuschek et al. A cautionary note: Side-channel leakage implications of deterministic signature schemes
Muller et al. High-order attacks against the exponent splitting protection
Armour et al. Algorithm substitution attacks against receivers
Smart Physical side‐channel attacks on cryptographic systems

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20130329

Year of fee payment: 10

FPAY Annual fee payment

Payment date: 20140220

Year of fee payment: 11

LAPS Lapse due to unpaid annual fee