WO2019117565A1 - 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 장치 및 방법 - Google Patents

Abstract

본 발명은 비밀키 비트 값을 확인하기 위한 반복 연산 시작 전에 랜덤한 값으로 매번 초기화하고, n-비트 비밀 키를 n-비트 랜덤 값으로 마스킹하여 공개키 암호 알고리즘이 갖는 취약성을 해결할 수 있도록 한 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 장치 및 방법에 관한 것으로, 암호 알고리즘이 동작하는 칩 정보를 확인하는 정보 확인부, 암호 알고리즘의 구현 방법을 판단하는 암호 알고리즘 판단부, 암호 알고리즘 하드웨어 구현시 비밀키 비트 값을 확인하기 위한 반복 연산 시작 전에 랜덤한 값으로 매번 초기화하는 하드웨어 대응 처리부 및 암호 알고리즘 소프트웨어 구현시 비밀키 비트 값을 확인하는 반복 연산 수행 전 단계에서 랜덤 값으로 마스킹 하는 소프트웨어 대응 처리부를 포함하는 것이다.

Description

공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 장치 및 방법

본 발명은 부채널 분석 대응에 관한 것으로, 구체적으로 비밀키 비트 값을 확인하기 위한 반복 연산 시작 전에 랜덤한 값으로 매번 초기화하고, n-비트 비밀 키를 n-비트 랜덤 값으로 마스킹하여 공개키 암호 알고리즘이 갖는 취약성을 해결할 수 있도록 한 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 장치 및 방법에 관한 것이다.

일반적으로 인터넷뱅킹, 인터넷 증권거래 등 많은 전자거래에서 사용되는 공인 인증체계의 핵심 알고리즘인 RSA와 전자여권, USIM, 스마트카드, 스마트카 등의 임베디드 플랫폼에 적합하여 그 수요가 증가하고 있는 ECC(Elliptic Curve Cryptography) 알고리즘은 부채널 분석 공격에 취약하다.

부채널 분석은 암호 알고리즘이 보안 디바이스 위에서 수행되는 동안 발생하는 부채널 정보를 활용한 물리적 공격이다.

부채널 분석(Side Channel Analysis, SCA)은 1996년 Paul Kocher가 최초로 제안한 분석 기법으로, 암호 기기가 암호 알고리즘 수행 시 노출하는 물리적 정보를 이용하여 키를 찾는 분석 기법이다.

이와 같이 부채널 분석공격 중에서 암호 알고리즘이 수행되는 동안 소비되는 전력 패턴을 관찰하여 분석에 활용하는 전력분석공격이 가장 강력하며, 대표적으로 단순전력분석(SPA, Simple Power Analysis)과 차분전력분석(DPA, Differential Power Analysis)이 있다.

그리고 이 외 충돌공격(CA, Collision Attack) 등이 있으며, 충돌공격은 단순전력분석 및 차분전력분석에 안전하게 설계된 RSA, ECC와 같은 공개키 암호 알고리즘이라도 단일 파형을 이용하여 비밀 키 값을 찾을 수 있는 매우 강력한 공격기법이다.

지금까지 RSA 및 ECC 암호 알고리즘을 부채널 분석에 안전하게 설계하기 위해 제안된 대응기법이 적용되어 있어도 암호 알고리즘 연산 파형을 이용하여 쉽게 n-bit 비밀 키 비트를 모두 복구할 수 있다는 취약점이 존재한다.

그러므로 이에 대응할 수 있는 안전한 공개키 암호 알고리즘에 대한 연구 개발이 필요하다.

즉, 과거 정보보호 디바이스의 안전성은 탑재된 암호 알고리즘의 수학적 안전성에 의존하였던 것과 달리 이와 별개로 부채널 분석공격에 의한 물리적 취약성이 존재함에 따라 이에 안전한 대응기법의 설계가 필수적이다.

[선행기술문헌]

[특허문헌]

(특허문헌 1) 한국등록특허 제10-0891323호

본 발명은 이와 같은 종래 기술의 공개키 암호 알고리즘의 부채널 분석에 대응하는 기술의 문제를 해결하기 위한 것으로, 비밀키 비트 값을 확인하기 위한 반복 연산 시작 전에 랜덤한 값으로 매번 초기화하고, n-비트 비밀 키를 n-비트 랜덤 값으로 마스킹하여 공개키 암호 알고리즘이 갖는 취약성을 해결할 수 있도록 한 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 장치 및 방법을 제공하는데 그 목적이 있다.

본 발명은 암호 알고리즘 하드웨어 구현시 비밀키 비트 값을 확인하기 위한 반복 연산 시작 전에 랜덤한 값으로 매번 초기화하도록 구현하여 공개키 암호 알고리즘이 갖는 취약성을 해결할 수 있도록 한 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 장치 및 방법을 제공하는데 그 목적이 있다.

본 발명은 암호 알고리즘 소프트웨어 구현시 비밀키 비트 값을 확인하는 반복 연산 수행 전 단계에서 랜덤 값으로 마스킹하도록 구현하여 공개키 암호 알고리즘이 갖는 취약성을 해결할 수 있도록 한 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 장치 및 방법을 제공하는데 그 목적이 있다.

본 발명은 하드웨어 및 소프트웨어로 구현된 암호 알고리즘의 취약성을 판단하는 단계에서 공격 대상과 동일한 장비를 활용할 수 있는지 판단하여 동일한 장비 활용 여부에 따라 구분하여 암호 알고리즘의 취약성을 판단하여 판단 정확도를 높일 수 있도록 한 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 장치 및 방법을 제공하는데 그 목적이 있다.

본 발명의 목적들은 이상에서 언급한 목적들로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.

이와 같은 목적을 달성하기 위한 본 발명에 따른 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 장치는 암호 알고리즘이 동작하는 칩 정보를 확인하는 정보 확인부, 암호 알고리즘의 구현 방법을 판단하는 암호 알고리즘 판단부, 암호 알고리즘 하드웨어 구현시 비밀키 비트 값을 확인하기 위한 반복 연산 시작 전에 랜덤한 값으로 매번 초기화하는 하드웨어 대응 처리부, 암호 알고리즘 소프트웨어 구현시 비밀키 비트 값을 확인하는 반복 연산 수행 전 단계에서 랜덤 값으로 마스킹하도록 구현하는 소프트웨어 대응 처리부를 포함하는 것을 특징으로 한다.

여기서, 상기 하드웨어 대응 처리부, 암호 알고리즘 하드웨어 구현 시 비밀 키 비트 k_i값을 확인하는 단계에서 k_i+1과 k_i(0 ≤ i < n-1)의 헤밍 디스턴스

값에 따른 전력 소모가 발생하는 특성 및, 암호 알고리즘 하드웨어 구현 시 비밀 키 비트 k_i값을 확인하는 단계에서 k_i+1과 k_i(0 ≤ i < n-1)의 헤밍 디스턴스

값에 따른 전력 소모가 발생하고, 반복 연산에서 불려오는 레지스터 R의 주소는 k_i+1과 k_i값에 따라 결정되기 때문에 연산에 활용되는 레지스터 주소의 헤밍 디스턴스에 따른 전력 소모가 발생하는 특성을 없애 전력 파형 특성을 비밀 키 비트값에 따른 특성에 관계없이 두 집합으로 랜덤하게 분류되도록 하여 취약점을 제거하는 것을 특징으로 한다.

그리고 소프트웨어 대응 처리부는, 암호 알고리즘 소프트웨어 구현 시 비밀 키 비트 k_i값을 확인하는 단계에서 k_i(0 ≤ i < n-1)값을 이진수로 표현했을 때 1의 개수인 헤밍 웨이트 값에 따른 전력 소모가 발생하는 특성 및, 암호 알고리즘 소프트웨어 구현 시 비밀 키 비트 k_i값을 확인하는 단계에서 k_i(0 ≤ i < n-1)값을 이진수로 표현했을 때 1의 개수인 헤밍 웨이트 값에 따른 전력 소모가 발생하고, 반복 연산에서 불려오는 레지스터 R의 주소는 k_i값에 따라 결정되기 때문에 연산에 활용되는 레지스터 주소를 이진수로 표현했을 때 1의 개수인 헤밍 웨이트 값에 따른 전력 소모도 발생하는 특성을 없애 전력 파형 특성을 비밀 키 비트값에 따른 특성에 관계없이 두 집합으로 랜덤하게 분류되도록 하여 취약점을 제거하는 것을 특징으로 한다.

그리고 하드웨어 대응 처리부는, 하드웨어로 구현된 암호 알고리즘의 취약성을 판단하는 취약성 판단부와, 하드웨어로 구현된 대응 기법을 적용하여 비밀키 비트 값을 확인하기 위한 반복 연산 시작 전에 랜덤한 값으로 초기화하는 랜덤 초기화부와, 공개키 암호 알고리즘의 1회 수행시 발생하는 전력 파형을 수집하는 전력 파형 수집부와, 암호 알고리즘의 1회 수행시에 수집한 전력 파형을 n개의 반복 연산 단위로 자르고, 키 비트 확인을 위한 연산 위치를 선택하고 n개의 반복 연산을 하는 연산단위 및 위치 선택부와 n개의 전력파형을 값에 따른 두 집합으로 분류할 수 있는 지를 판단하여 분류되지 않는 경우에 취약성이 제거된 것으로 판단하는 안전성 판단부를 포함하는 것을 특징으로 한다.

그리고 소프트웨어 대응 처리부는, 소프트웨어로 구현된 암호 알고리즘의 취약성을 판단하는 취약성 판단부와, 소프트웨어로 구현된 대응 기법을 적용하여 랜덤 비트 마스킹을 하는 랜덤 비트 마스킹부와, 공개키 암호 알고리즘의 1회 수행시 발생하는 전력 파형을 수집하는 전력 파형 수집부와, 암호 알고리즘의 1회 수행시에 수집한 전력 파형을 n개의 반복 연산 단위로 자르고, 키 비트 확인을 위한 연산 위치를 선택하고 n개의 반복 연산을 하는 연산단위 및 위치 선택부와 n개의 전력파형을 값에 따른 두 집합으로 분류할 수 있는 지를 판단하여 분류되지 않는 경우에 취약성이 제거된 것으로 판단하는 안전성 판단부를 포함하는 것을 특징으로 한다.

다른 목적을 달성하기 위한 본 발명에 따른 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 방법은 암호 알고리즘이 동작하는 칩 정보를 확인하는 단계;암호 알고리즘의 구현 방법을 판단하는 단계 및 암호 알고리즘 구현이 하드웨어인 경우에는 암호 알고리즘 하드웨어 구현시 비밀키 비트 값을 확인하기 위한 반복 연산 시작 전에 랜덤한 값으로 매번 초기화하는 하드웨어 대응 처리를 하고, 암호 알고리즘 구현이 소프트웨어인 경우에는 암호 알고리즘 소프트웨어 구현시 비밀키 비트 값을 확인하는 반복 연산 수행 전 단계에서 랜덤 값으로 마스킹 하는 소프트웨어 대응 처리를 하는 단계를 포함하는 것을 특징으로 한다.

여기서, 암호 알고리즘 구현이 하드웨어인 경우에는, 하드웨어로 구현된 암호 알고리즘의 취약성을 판단하고, 하드웨어로 구현된 대응 기법을 적용하여 비밀키 비트 값을 확인하기 위한 반복 연산 시작 전에 랜덤한 값으로 초기화하는 단계와, 공개키 암호 알고리즘의 1회 수행시 발생하는 전력 파형을 수집하는 단계와, 암호 알고리즘의 1회 수행시에 수집한 전력 파형을 n개의 반복 연산 단위로 자르고, 키 비트 확인을 위한 연산 위치를 선택하고 n개의 반복 연산을 하는 단계와 n개의 전력파형을 값에 따른 두 집합으로 분류할 수 있는 지를 판단하여 분류되지 않는 경우에 취약성이 제거된 것으로 판단하는 단계를 포함하는 것을 특징으로 한다.

그리고 암호 알고리즘 구현이 소프트웨어인 경우에는, 소프트웨어로 구현된 암호 알고리즘의 취약성을 판단하고, 소프트웨어로 구현된 대응 기법을 적용하여 랜덤 비트 마스킹을 하는 단계와 공개키 암호 알고리즘의 1회 수행시 발생하는 전력 파형을 수집하는 단계와 암호 알고리즘의 1회 수행시에 수집한 전력 파형을 n개의 반복 연산 단위로 자르고, 키 비트 확인을 위한 연산 위치를 선택하고 n개의 반복 연산을 하는 단계와 n개의 전력파형을 값에 따른 두 집합으로 분류할 수 있는 지를 판단하여 분류되지 않는 경우에 취약성이 제거된 것으로 판단하는 단계를 포함하는 것을 특징으로 한다.

그리고 반복 연산 시작 전에 랜덤한 값으로 매번 초기화하는 하드웨어 대응 처리를 하는 것에 의해, 암호 알고리즘 하드웨어 구현 시 비밀 키 비트 k_i값을 확인하는 단계에서 k_i+1과 k_i(0 ≤ i < n-1)의 헤밍 디스턴스

값에 따른 전력 소모가 발생하는 특성 및, 암호 알고리즘 하드웨어 구현 시 비밀 키 비트 k_i값을 확인하는 단계에서 k_i+1과 k_i(0 ≤ i < n-1)의 헤밍 디스턴스

값에 따른 전력 소모가 발생하고, 반복 연산에서 불려오는 레지스터 R의 주소는 k_i+1과 k_i값에 따라 결정되기 때문에 연산에 활용되는 레지스터 주소의 헤밍 디스턴스에 따른 전력 소모가 발생하는 특성을 없애 전력 파형 특성을 비밀 키 비트값에 따른 특성에 관계없이 두 집합으로 랜덤하게 분류되도록 하여 취약점을 제거하는 것을 특징으로 한다.

그리고 랜덤 비트 마스킹을 하는 소프트웨어 대응 처리를 하는 것에 의해, 암호 알고리즘 소프트웨어 구현 시 비밀 키 비트 k_i값을 확인하는 단계에서 k_i(0 ≤ i < n-1)값을 이진수로 표현했을 때 1의 개수인 헤밍 웨이트 값에 따른 전력 소모가 발생하는 특성 및, 암호 알고리즘 소프트웨어 구현 시 비밀 키 비트 k_i값을 확인하는 단계에서 k_i(0 ≤ i < n-1)값을 이진수로 표현했을 때 1의 개수인 헤밍 웨이트 값에 따른 전력 소모가 발생하고, 반복 연산에서 불려오는 레지스터 R의 주소는 k_i값에 따라 결정되기 때문에 연산에 활용되는 레지스터 주소를 이진수로 표현했을 때 1의 개수인 헤밍 웨이트 값에 따른 전력 소모도 발생하는 특성을 없애 전력 파형 특성을 비밀 키 비트값에 따른 특성에 관계없이 두 집합으로 랜덤하게 분류되도록 하여 취약점을 제거하는 것을 특징으로 한다.

그리고 하드웨어 및 소프트웨어로 구현된 암호 알고리즘의 취약성 판단하는 단계에서, 공격 대상과 동일한 장비를 활용할 수 있다면, 공격 대상과 동일한 장비에서 n 비트 비밀 키 설정 후 공개키 암호 알고리즘 1회 수행시 발생하는 전력 파형을 수집하는 단계와 알고리즘 1회 수행시 수집한 전력 파형을 n개의 반복 연산 단위로 자르고, 설정된 n 비트 키를 기반으로 n 개의 전력 파형을 두 집합으로 분류하는 단계와 분류된 두 집합의 SOST 값을 계산하고, SOST 피크 값의 존재 여부를 판단하는 단계를 포함하는 것을 특징으로 한다.

그리고 하드웨어 및 소프트웨어로 구현된 암호 알고리즘의 취약성 판단하는 단계에서, 공격 대상과 동일한 장비를 활용할 수 없다면, 공격 대상 장비에서 공개키 암호 알고리즘 1회 수행시 발생하는 전력 파형을 수집하는 단계와 알고리즘 1회 수행시 수집한 전력 파형을 n개의 반복 연산 단위로 자르고, 공격 대상 칩의 동작 주파수 확인 및 알고리즘 구조 분석을 통하여 키 비트 확인을 위한 연산 단계를 구분하는 단계와 n개의 전력 파형을 비밀 키 비트 값 k_i에 따른 두 집합으로 분류할 수 있는지 확인하는 단계를 포함하는 것을 특징으로 한다.

이와 같은 본 발명에 따른 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 장치 및 방법은 다음과 같은 효과를 갖는다.

첫째, RSA, ECC 암호 알고리즘을 기반으로 하는 공개키 시스템에 대한 부채널 분석 안전성을 향상시킬 수 있다.

둘째, 암호 알고리즘 하드웨어 구현시 비밀키 비트 값을 확인하기 위한 반복 연산 시작 전에 랜덤한 값으로 매번 초기화하도록 구현하여 공개키 암호 알고리즘이 갖는 취약성을 해결할 수 있다.

셋째, 암호 알고리즘 소프트웨어 구현시 비밀키 비트 값을 확인하는 반복 연산 수행 전 단계에서 랜덤 값으로 마스킹하도록 구현하여 공개키 암호 알고리즘이 갖는 취약성을 해결할 수 있다.

넷째, 하드웨어 및 소프트웨어로 구현된 암호 알고리즘의 취약성을 판단하는 단계에서 공격 대상과 동일한 장비를 활용할 수 있는지 판단하여 동일한 장비 활용 여부에 따라 구분하여 암호 알고리즘의 취약성을 판단하여 판단 정확도를 높일 수 있다.

다섯째, RSA 암호 알고리즘은 공인인증서, ECC 암호 알고리즘은 전자여권, 스마트카에서 활용되는 것에 의해 본 발명은 국내·외 공인인증서, 전자여권, 스마트카 등의 부채널 대응기법을 설계하는 기관 및 부채널 안전성 검증을 수행하는 기관에서 유용하게 활용 가능하다.

도 1은 스칼라 곱셈 알고리즘을 나타낸 구성도

도 2는 하드웨어 구현시의 반복 연산에 대한 전력 파형을 특성에 따라 구분한 분류 그래프

도 3은 소프트웨어 구현시의 반복 연산에 대한 전력 파형을 특성에 따라 구분한 분류 그래프

도 4는 하드웨어 구현에 의한 랜덤값 초기화를 나타낸 구성도

도 5는 하드웨어에 의해 구현하여 대응한 결과 그래프

도 6은 소프트웨어 구현에 의한 랜덤 비트마스킹을 나타낸 구성도

도 7은 소프트웨어에 의해 구현하여 대응한 결과 그래프

도 8은 본 발명에 따른 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 장치의 구성도

도 9는 본 발명에 따른 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 방법을 나타낸 플로우 차트

도 10은 하드웨어 전력 파형 및 반복 연산 단위를 나타낸 그래프

도 11은 하드웨어 및 소프트웨어로 구현된 암호 알고리즘의 취약성 판단 과정을 나타낸 플로우 차트

이하, 본 발명에 따른 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 장치 및 방법의 바람직한 실시 예에 관하여 상세히 설명하면 다음과 같다.

본 발명에 따른 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 장치 및 방법의 특징 및 이점들은 이하에서의 각 실시 예에 대한 상세한 설명을 통해 명백해질 것이다.

도 8은 본 발명에 따른 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 장치의 구성도이고, 도 9는 본 발명에 따른 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 방법을 나타낸 플로우 차트이다.

본 발명에 따른 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 장치 및 방법은 암호 알고리즘 하드웨어 구현시 비밀키 비트 값을 확인하기 위한 반복 연산 시작 전에 랜덤한 값으로 매번 초기화하도록 구현하는 것이다.

본 발명에 따른 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 장치 및 방법은 암호 알고리즘 소프트웨어 구현시 비밀키 비트 값을 확인하는 반복 연산 수행 전 단계에서 랜덤 값으로 마스킹 하도록 구현하는 것이다.

이와 같은 본 발명에 따른 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 장치 및 방법은 부채널 분석 대응기법에 관한 것으로, RSA, ECC와 같은 공개키 암호 알고리즘에 대한 단순 전력 분석 취약점을 보완하기 위한 방법이다.

이 기술은 RSA, ECC 암호 알고리즘이 비밀 키 비트 값에 따른 반복 연산을 수행하기 위해 n-bit 비밀 키 배열 k=(k_n-1,…k₁,k₀)₂에서 비밀 키 비트 k_i값을 확인하는 단계를 안전하게 설계하기 위해 적용한다.

ECC 암호 알고리즘의 대표 연산인 스칼라 곱셈 연산은 도 1에서와 같이 비밀 키 비트 k_i값에 따른 반복 연산(2-5)을 수행하도록 구현된다.

도 1은 스칼라 곱셈 알고리즘을 나타낸 구성도이다.

따라서, 각 반복 연산 수행 전에 비밀 키 비트 k_i값을 확인하는 단계가 존재하며, n-bit 비밀 키 배열 k=(k_n-1,…k₁,k₀)₂에서 추출하여 k_i변수에 저장한다.

RSA 암호 알고리즘의 대표 연산인 모듈러 지수승 연산은 스칼라 곱셈 연산과 유사한 구조로, 덧셈 연산은 곱셈 연산으로, 두 배 연산은 제곱 연산으로 구현된다.

이와 같은 공개키 암호 알고리즘이 갖는 비밀 키 비트 k_i값을 확인하는 단계에서의 특성을 설명하면 다음과 같다.

(특성 1) 암호 알고리즘 하드웨어 구현 시 비밀 키 비트 k_i값을 확인하는 단계에서 k_i+1과 k_i(0 ≤ i < n-1)의 헤밍 디스턴스, 즉,

값에 따른 전력 소모가 발생한다.

⇒ k_i+1 = k_i일 때

과 연관된 전력 소모가 발생

⇒ k_i+1 ≠ k_i일 때

과 연관된 전력 소모가 발생

(특성 2) 암호 알고리즘 소프트웨어 구현 시 비밀 키 비트 k_i값을 확인하는 단계에서 k_i(0 ≤ i < n-1)의 헤밍 웨이트, 즉, k_i값을 이진수로 표현했을 때 1의 개수에 따른 전력 소모가 발생한다.

⇒ k_i = 0일 때 0과 연관된 전력 소모가 발생

⇒ k_i = 1일 때 1과 연관된 전력 소모가 발생

(특성 3) 암호 알고리즘 하드웨어 구현 시 비밀 키 비트 k_i값을 확인하는 단계에서 k_i+1과 k_i(0 ≤ i < n-1)의 헤밍 디스턴스, 즉,

값에 따른 전력 소모가 발생한다. 그리고 반복 연산(2-5)에서 불려오는 레지스터 R의 주소는 k_i+1과 k_i값에 따라 결정되기 때문에 연산에 활용되는 레지스터 주소 RegAddrR_ki+1 과 RegAddrR_ki(0 ≤ i < n-1)의 헤밍 디스턴스, 즉,

값에 따른 전력 소모도 발생한다.

⇒ k_i+1 = k_i일 때

,

과 연관된 전력 소모가 발생

⇒ k_i+1 ≠ k_i일 때

,

과 연관된 전력 소모가 발생

(특성 4) 암호 알고리즘 소프트웨어 구현 시 비밀 키 비트 k_i값을 확인하는 단계에서 k_i(0 ≤ i < n-1)의 헤밍 웨이트, 즉, k_i값을 이진수로 표현했을 때 1의 개수에 따른 전력 소모가 발생한다. 그리고 반복 연산(2-5)에서 불려오는 레지스터 R의 주소는 k_i값에 따라 결정되기 때문에 연산에 활용되는 레지스터 주소 RegAddrR_ki(0 ≤ i < n-1)의 헤밍 웨이트, 즉, RegAddrR_ki값을 이진수로 표현했을 때 1의 개수에 따른 전력 소모도 발생한다.

⇒ k_i = 0일 때 0, RegAddrR₀과 연관된 전력 소모가 발생

⇒ k_i = 1일 때 1, RegAddrR₁과 연관된 전력 소모가 발생

따라서 n번의 반복 연산(2-5)에 대한 n개의 전력 파형을 특성 (1), (2), (3), (4)를 기반으로 도 2 및 도 3에서와 같이, 두 집합으로 분류할 수 있으며, 단 하나의 전력 파형을 이용하여 n-bit 비밀 키 비트 전체를 복구할 수 있고, 단순 전력 분석 및 차분 전력 분석 대응기법이 적용되어 있는 RSA, ECC 암호 알고리즘도 본 취약성이 존재한다.

도 2는 하드웨어 구현시의 반복 연산에 대한 전력 파형을 특성에 따라 구분한 분류 그래프이고, 도 3은 소프트웨어 구현시의 반복 연산에 대한 전력 파형을 특성에 따라 구분한 분류 그래프이다.

본 발명은 특성 (1), (2), (3), (4)에 대한 취약성을 없애기 위해 대응기법을 설계한 것이다.

도 4는 하드웨어 구현에 의한 랜덤값 초기화를 나타낸 구성도이고, 도 5는 하드웨어에 의해 구현하여 대응한 결과 그래프이다.

하드웨어 구현의 경우 특성 (1), (3)을 없애기 위해 도 4에서와 같이 k_i 값을 반복 연산 시작 전에 랜덤한 값으로 매번 초기화하도록 구성한다.

그 결과 도 5에서와 같이 비밀 키 비트 값에 따른 특성에 상관없이 두 집합으로 랜덤하게(1/2의 확률) 분류되어 취약점을 제거할 수 있다.

도 6은 소프트웨어 구현에 의한 랜덤 비트마스킹을 나타낸 구성도이고, 도 7은 소프트웨어에 의해 구현하여 대응한 결과 그래프이다.

소프트웨어 구현의 경우 특성 (2), (4)를 없애기 위해 도 6에서와 같이 n-bit 비밀 키 key를 n-비트 랜덤 값 r로 마스킹(랜덤한 값으로 감춘다)한다.

그 결과 도 7에서와 같이 비밀 키 비트 값에 따른 특성에 상관없이 두 집합으로 랜덤하게(1/2의 확률) 분류되어 취약점을 제거할 수 있다.

이와 같은 본 발명에 따른 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 장치 및 방법의 구성을 구체적으로 설명하면 다음과 같다.

먼저, 본 발명에 따른 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 장치는 도 8에서와 같이, 암호 알고리즘이 동작하는 칩 정보를 확인하는 정보 확인부(80)와, 암호 알고리즘의 구현 방법을 판단하는 암호 알고리즘 판단부(900)와, 암호 알고리즘 하드웨어 구현시 비밀키 비트 값을 확인하기 위한 반복 연산 시작 전에 랜덤한 값으로 매번 초기화하는 하드웨어 대응 처리부(100)와, 암호 알고리즘 소프트웨어 구현시 비밀키 비트 값을 확인하는 반복 연산 수행 전 단계에서 랜덤 값으로 마스킹 하는 소프트웨어 대응 처리부(110)를 포함한다.

하드웨어 대응 처리부(100)는 암호 알고리즘 하드웨어 구현 시 비밀 키 비트 k_i값을 확인하는 단계에서 k_i+1과 k_i(0 ≤ i < n-1)의 헤밍 디스턴스

값에 따른 전력 소모가 발생하는 (특성 1) 및 암호 알고리즘 하드웨어 구현 시 비밀 키 비트 k_i값을 확인하는 단계에서 k_i+1과 k_i(0 ≤ i < n-1)의 헤밍 디스턴스

값에 따른 전력 소모가 발생하고, 반복 연산에서 불려오는 레지스터 R의 주소는 k_i+1과 k_i값에 따라 결정되기 때문에 연산에 활용되는 레지스터 주소의 헤밍 디스턴스에 따른 전력 소모가 발생하는 (특성 3)을 없애 전력 파형 특성을 비밀 키 비트값에 따른 특성에 관계없이 두 집합으로 랜덤하게 분류되도록 하여 취약점을 제거하는 것이다.

소프트웨어 대응 처리부(110)는 암호 알고리즘 소프트웨어 구현 시 비밀 키 비트 k_i값을 확인하는 단계에서 k_i(0 ≤ i < n-1)의 헤밍 웨이트, 즉, k_i값을 이진수로 표현했을 때 1의 개수에 따른 전력 소모가 발생하는 (특성 2) 및 암호 알고리즘 소프트웨어 구현 시 비밀 키 비트 k_i값을 확인하는 단계에서 k_i(0 ≤ i < n-1)의 헤밍 웨이트, 즉, k_i값을 이진수로 표현했을 때 1의 개수에 따른 전력 소모가 발생하고, 반복 연산에서 불려오는 레지스터 R의 주소는 k_i값에 따라 결정되기 때문에 연산에 활용되는 레지스터 주소 값을 이진수로 표현했을 때 1의 개수, 즉 레지스터 주소의 헤밍 웨이트 값에 따른 전력 소모도 발생하는 (특성 4)를 없애 전력 파형 특성을 비밀 키 비트값에 따른 특성에 관계없이 두 집합으로 랜덤하게 분류되도록 하여 취약점을 제거하는 것이다.

하드웨어 대응 처리부(100)는 하드웨어로 구현된 암호 알고리즘의 취약성을 판단하는 취약성 판단부(100a)와, 하드웨어로 구현된 대응 기법을 적용하여 비밀키 비트 값을 확인하기 위한 반복 연산 시작 전에 랜덤한 값으로 초기화하는 랜덤 초기화부(100b)와, 공개키 암호 알고리즘의 1회 수행시 발생하는 전력 파형을 수집하는 전력 파형 수집부(100c)와, 암호 알고리즘의 1회 수행시에 수집한 전력 파형을 n개의 반복 연산 단위로 자르고, 키 비트 확인을 위한 연산 위치를 선택하고 n개의 반복 연산을 하는 연산단위 및 위치 선택부(100d)와, n개의 전력파형을 값에 따른 두 집합으로 분류할 수 있는 지를 판단하여 분류되지 않는 경우에 취약성이 제거된 것으로 판단하는 안전성 판단부(100e)를 포함한다.

소프트웨어 대응 처리부(110)는 소프트웨어로 구현된 암호 알고리즘의 취약성을 판단하는 취약성 판단부(110a)와, 소프트웨어로 구현된 대응 기법을 적용하여 랜덤 비트 마스킹을 하는 랜덤 비트 마스킹부(110b)와, 공개키 암호 알고리즘의 1회 수행시 발생하는 전력 파형을 수집하는 전력 파형 수집부(110c)와, 암호 알고리즘의 1회 수행시에 수집한 전력 파형을 n개의 반복 연산 단위로 자르고, 키 비트 확인을 위한 연산 위치를 선택하고 n개의 반복 연산을 하는 연산단위 및 위치 선택부(110d)와, n개의 전력파형을 값에 따른 두 집합으로 분류할 수 있는 지를 판단하여 분류되지 않는 경우에 취약성이 제거된 것으로 판단하는 안전성 판단부(110e)를 포함한다.

본 발명에 따른 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 방법은 도 9에서와 같이, 암호 알고리즘이 동작하는 칩 정보를 확인하는 단계;암호 알고리즘의 구현 방법을 판단하는 단계; 암호 알고리즘 구현이 하드웨어인 경우에는 암호 알고리즘 하드웨어 구현시 비밀키 비트 값을 확인하기 위한 반복 연산 시작 전에 랜덤한 값으로 매번 초기화하는 하드웨어 대응 처리를 하고, 암호 알고리즘 구현이 소프트웨어인 경우에는 암호 알고리즘 소프트웨어 구현시 비밀키 비트 값을 확인하는 반복 연산 수행 전 단계에서 랜덤 값으로 마스킹 하는 소프트웨어 대응 처리를 하는 단계;를 포함한다.

여기서, 반복 연산 시작 전에 랜덤한 값으로 매번 초기화하는 하드웨어 대응 처리를 하는 것에 의해, 암호 알고리즘 하드웨어 구현 시 비밀 키 비트 k_i값을 확인하는 단계에서 k_i+1과 k_i(0 ≤ i < n-1)의 헤밍 디스턴스

값에 따른 전력 소모가 발생하는 (특성 1) 및, 암호 알고리즘 하드웨어 구현 시 비밀 키 비트 k_i값을 확인하는 단계에서 k_i+1과 k_i(0 ≤ i < n-1)의 헤밍 디스턴스

값에 따른 전력 소모가 발생하고, 반복 연산에서 불려오는 레지스터 R의 주소는 k_i+1과 k_i값에 따라 결정되기 때문에 연산에 활용되는 레지스터 주소의 헤밍 디스턴스에 따른 전력 소모가 발생하는 (특성 3)을 없애 전력 파형 특성을 비밀 키 비트값에 따른 특성에 관계없이 두 집합으로 랜덤하게 분류되도록 하여 취약점을 제거할 수 있다.

그리고 랜덤 비트 마스킹을 하는 소프트웨어 대응 처리를 하는 것에 의해, 암호 알고리즘 소프트웨어 구현 시 비밀 키 비트 k_i값을 확인하는 단계에서 k_i(0 ≤ i < n-1)의 헤밍 웨이트, 즉 k_i값을 이진수로 표현했을 때 1의 개수에 따른 전력 소모가 발생하는 (특성 2) 및, 암호 알고리즘 소프트웨어 구현 시 비밀 키 비트 k_i값을 확인하는 단계에서 k_i(0 ≤ i < n-1)의 헤밍 웨이트, 즉, k_i값을 이진수로 표현했을 때 1의 개수에 따른 전력 소모가 발생하고, 반복 연산에서 불려오는 레지스터 R의 주소는 k_i값에 따라 결정되기 때문에 연산에 활용되는 레지스터 주소 값을 이진수로 표현했을 때 1의 개수, 즉 레지스터 주소의 헤밍 웨이트 값에 따른 전력 소모도 발생하는 (특성 4)를 없애 전력 파형 특성을 비밀 키 비트값에 따른 특성에 관계없이 두 집합으로 랜덤하게 분류되도록 하여 취약점을 제거할 수 있다.

구체적으로, 암호 알고리즘이 동작하는 칩 정보를 확인하고(S901), 암호 알고리즘의 구현 방법을 판단한다(S902).

암호 알고리즘 구현이 하드웨어인 경우에는 하드웨어로 구현된 암호 알고리즘의 취약성을 판단하여(S903), 하드웨어로 구현된 대응 기법을 적용하여 비밀키 비트 값을 확인하기 위한 반복 연산 시작 전에 랜덤한 값으로 초기화한다(S904).

그리고 공개키 암호 알고리즘의 1회 수행시 발생하는 전력 파형을 수집한다(S905).

이어, 암호 알고리즘의 1회 수행시에 수집한 전력 파형을 n개의 반복 연산 단위로 자르고(S906), 키 비트 확인을 위한 연산 위치를 선택하고 n개의 반복 연산을 한다(S907).

그리고 n개의 전력파형을 값에 따른 두 집합으로 분류할 수 있는 지를 판단하여 분류되지 않는 경우에 취약성이 제거된 것으로 판단한다(S908).

그리고 암호 알고리즘 구현이 소프트웨어인 경우에는, 소프트웨어로 구현된 암호 알고리즘의 취약성을 판단하고(S913), 소프트웨어로 구현된 대응 기법을 적용하여 랜덤 비트 마스킹을 한다(S914).

이어, 공개키 암호 알고리즘의 1회 수행시 발생하는 전력 파형을 수집한다(S915).

그리고 암호 알고리즘의 1회 수행시에 수집한 전력 파형을 n개의 반복 연산 단위로 자르고(S916), 키 비트 확인을 위한 연산 위치를 선택하고 n개의 반복 연산을 한다(S917).

이어, n개의 전력파형을 값에 따른 두 집합으로 분류할 수 있는 지를 판단하여 분류되지 않는 경우에 취약성이 제거된 것으로 판단한다(S918).

여기서, 암호 알고리즘의 1회 수행시에 수집한 전력 파형을 n개의 반복 연산 단위로 자르고(S916), 키 비트 확인을 위한 연산 위치를 선택하고 n개의 반복 연산을 하는(S917) 단계의 일 예는 도 10에서와 같다.

도 10은 하드웨어 전력 파형 및 반복 연산 단위를 나타낸 그래프이다.

하드웨어 및 소프트웨어로 구현된 암호 알고리즘의 취약성 판단 과정을 구체적으로 설명하면 다음과 같다.

도 11은 하드웨어 및 소프트웨어로 구현된 암호 알고리즘의 취약성 판단 과정을 나타낸 플로우 차트이다.

하드웨어 및 소프트웨어로 구현된 암호 알고리즘의 취약성 판단하는 단계(S913)는,

공격 대상과 동일한 장비를 활용할 수 있다면(S1101), 공격 대상과 동일한 장비에서 n 비트 비밀 키 설정 후 공개키 암호 알고리즘 1회 수행시 발생하는 전력 파형을 수집한다(S1102).

그리고 알고리즘 1회 수행시 수집한 전력 파형을 n개의 반복 연산 단위로 자르고(S1103), 설정된 n 비트 키를 기반으로 n 개의 전력 파형을 두 집합으로 분류한다(S1104).

이어, 분류된 두 집합의 SOST 값을 아래의 수학식 1에서와 같이 계산하고(S1105), SOST 피크 값의 존재 여부를 판단한다(S1106).

그리고 공격 대상과 동일한 장비를 활용할 수 없다면(S1101), 공격 대상 장비에서 공개키 암호 알고리즘 1회 수행시 발생하는 전력 파형을 수집한다(S1112).

그리고 알고리즘 1회 수행시 수집한 전력 파형을 n개의 반복 연산 단위로 자르고(S1113), 공격 대상 칩의 동작 주파수 확인 및 알고리즘 구조 분석을 통하여 키 비트 확인을 위한 연산 단계를 구분한다(S1114).

이어, n개의 전력 파형을 비밀 키 비트 값 k_i에 따른 두 집합으로 분류할 수 있는지 확인한다(S1115).

이와 같은 본 발명에 따른 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 장치 및 방법은 RSA, ECC 암호 알고리즘을 기반으로 하는 공개키 시스템에 대한 부채널 분석 안전성을 향상시키는 대응기법으로, RSA 암호 알고리즘은 공인인증서, ECC 암호 알고리즘은 전자여권, 스마트 카에서 활용되기 때문에, 해당 기술은 국내·외 공인인증서, 전자여권, 스마트 카 등의 부채널 대응기법을 설계하는 기관 및 부채널 안전성 검증을 수행하는 기관에서 활용 가능하다.

이상에서의 설명에서와 같이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 본 발명이 구현되어 있음을 이해할 수 있을 것이다.

그러므로 명시된 실시 예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 하고, 본 발명의 범위는 전술한 설명이 아니라 특허청구 범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.

본 발명을 지원한 국가연구개발사업

과제고유번호:1711055423

부처명:미래창조과학부

연구관리전문기관:정보통신기술진흥센터

연구사업명:정보보호핵심원천기술개발(R＆D) (조사분석사업명: 정보보호핵심원천기술개발)

연구과제명:(ICT 기초연구실) SCR-Friendly 대칭키 암호 및 응용 모드개발

기여율:1/1

주관기관:국민대학교 산학협력단

연구기간:2017.04.01 ~ 2017.12.31

[부호의 설명]

80. 정보 확인부 90. 암호 알고리즘 판단부

100. 하드웨어 대응 처리부 110. 소프트웨어 대응 처리부

Claims (12)

1. 암호 알고리즘이 동작하는 칩 정보를 확인하는 정보 확인부;

   암호 알고리즘의 구현 방법을 판단하는 암호 알고리즘 판단부;

   암호 알고리즘 하드웨어 구현시 비밀키 비트 값을 확인하기 위한 반복 연산 시작 전에 랜덤한 값으로 매번 초기화하는 하드웨어 대응 처리부;

   암호 알고리즘 소프트웨어 구현시 비밀키 비트 값을 확인하는 반복 연산 수행 전 단계에서 랜덤 값으로 마스킹 하는 소프트웨어 대응 처리부;를 포함하는 것을 특징으로 하는 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 장치.
2. 제1항에 있어서, 상기 하드웨어 대응 처리부는

   암호 알고리즘 하드웨어 구현 시 비밀 키 비트 k_i값을 확인하는 단계에서 k_i+1과 k_i(0 ≤ i < n-1)의 헤밍 디스턴스

   

   값에 따른 전력 소모가 발생하는 특성 및,

   암호 알고리즘 하드웨어 구현 시 비밀 키 비트 k_i값을 확인하는 단계에서 k_i+1과 k_i(0 ≤ i < n-1)의 헤밍 디스턴스

   

   값에 따른 전력 소모가 발생하고, 반복 연산에서 불려오는 레지스터 R의 주소는 k_i+1과 k_i값에 따라 결정되기 때문에 연산에 활용되는 레지스터 주소의 헤밍 디스턴스에 따른 전력 소모가 발생하는 특성을 없애 전력 파형 특성을 비밀 키 비트값에 따른 특성에 관계없이 두 집합으로 랜덤하게 분류되도록 하여 취약점을 제거하는 것을 특징으로 하는 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 장치.
3. 제1항에 있어서, 상기 소프트웨어 대응 처리부는

   암호 알고리즘 소프트웨어 구현 시 비밀 키 비트 k_i값을 확인하는 단계에서 k_i(0 ≤ i < n-1)의 헤밍웨이트, 즉 k_i값을 이진수로 표현했을 때 1의 개수인 헤밍 웨이트 값에 따른 전력 소모가 발생하는 특성 및,

   암호 알고리즘 소프트웨어 구현 시 비밀 키 비트 k_i값을 확인하는 단계에서 k_i(0 ≤ i < n-1)의 헤밍웨이트, 즉 k_i값을 이진수로 표현했을 때 1의 개수인 헤밍 웨이트 값에 따른 전력 소모가 발생하고, 반복 연산에서 불려오는 레지스터 R의 주소는 k_i값에 따라 결정되기 때문에 연산에 활용되는 레지스터 주소의 헤밍 웨이트, 즉, 레지스터 주소를 이진수로 표현했을 때 1의 개수에 따른 전력 소모도 발생하는 특성을 없애 전력 파형 특성을 비밀 키 비트값에 따른 특성에 관계없이 두 집합으로 랜덤하게 분류되도록 하여 취약점을 제거하는 것을 특징으로 하는 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 장치.
4. 제1항 또는 제2항에 있어서, 상기 하드웨어 대응 처리부는

   하드웨어로 구현된 암호 알고리즘의 취약성을 판단하는 취약성 판단부와,

   하드웨어로 구현된 대응 기법을 적용하여 비밀키 비트 값을 확인하기 위한 반복 연산 시작 전에 랜덤한 값으로 초기화하는 랜덤 초기화부와,

   공개키 암호 알고리즘의 1회 수행시 발생하는 전력 파형을 수집하는 전력 파형 수집부와,

   암호 알고리즘의 1회 수행시에 수집한 전력 파형을 n개의 반복 연산 단위로 자르고, 키 비트 확인을 위한 연산 위치를 선택하고 n개의 반복 연산을 하는 연산단위 및 위치 선택부와,

   n개의 전력파형을 값에 따른 두 집합으로 분류할 수 있는 지를 판단하여 분류되지 않는 경우에 취약성이 제거된 것으로 판단하는 안전성 판단부를 포함하는 것을 특징으로 하는 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 장치.
5. 제1항 또는 제3항에 있어서, 상기 소프트웨어 대응 처리부는

   소프트웨어로 구현된 암호 알고리즘의 취약성을 판단하는 취약성 판단부와,

   소프트웨어로 구현된 대응 기법을 적용하여 랜덤 비트 마스킹을 하는 랜덤 비트 마스킹부와,

   공개키 암호 알고리즘의 1회 수행시 발생하는 전력 파형을 수집하는 전력 파형 수집부와,

   암호 알고리즘의 1회 수행시에 수집한 전력 파형을 n개의 반복 연산 단위로 자르고, 키 비트 확인을 위한 연산 위치를 선택하고 n개의 반복 연산을 하는 연산단위 및 위치 선택부와,

   n개의 전력파형을 값에 따른 두 집합으로 분류할 수 있는 지를 판단하여 분류되지 않는 경우에 취약성이 제거된 것으로 판단하는 안전성 판단부를 포함하는 것을 특징으로 하는 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 장치.
6. 암호 알고리즘이 동작하는 칩 정보를 확인하는 단계;

   암호 알고리즘의 구현 방법을 판단하는 단계; 및

   암호 알고리즘 구현이 하드웨어인 경우에는 암호 알고리즘 하드웨어 구현시 비밀키 비트 값을 확인하기 위한 반복 연산 시작 전에 랜덤한 값으로 매번 초기화하는 하드웨어 대응 처리를 하고, 암호 알고리즘 구현이 소프트웨어인 경우에는 암호 알고리즘 소프트웨어 구현시 비밀키 비트 값을 확인하는 반복 연산 수행 전 단계에서 랜덤 값으로 마스킹 하는 소프트웨어 대응 처리를 하는 단계;를 포함하는 것을 특징으로 하는 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 장치.
7. 제6항에 있어서, 상기 암호 알고리즘 구현이 하드웨어인 경우에는,

   하드웨어로 구현된 암호 알고리즘의 취약성을 판단하고, 하드웨어로 구현된 대응 기법을 적용하여 비밀키 비트 값을 확인하기 위한 반복 연산 시작 전에 랜덤한 값으로 초기화하는 단계와,

   공개키 암호 알고리즘의 1회 수행시 발생하는 전력 파형을 수집하는 단계와,

   암호 알고리즘의 1회 수행시에 수집한 전력 파형을 n개의 반복 연산 단위로 자르고, 키 비트 확인을 위한 연산 위치를 선택하고 n개의 반복 연산을 하는 단계와,

   n개의 전력파형을 값에 따른 두 집합으로 분류할 수 있는 지를 판단하여 분류되지 않는 경우에 취약성이 제거된 것으로 판단하는 단계를 포함하는 것을 특징으로 하는 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 장치.
8. 제6항에 있어서, 상기 암호 알고리즘 구현이 소프트웨어인 경우에는,

   소프트웨어로 구현된 암호 알고리즘의 취약성을 판단하고, 소프트웨어로 구현된 대응 기법을 적용하여 랜덤 비트 마스킹을 하는 단계와,

   공개키 암호 알고리즘의 1회 수행시 발생하는 전력 파형을 수집하는 단계와,

   암호 알고리즘의 1회 수행시에 수집한 전력 파형을 n개의 반복 연산 단위로 자르고, 키 비트 확인을 위한 연산 위치를 선택하고 n개의 반복 연산을 하는 단계와,

   n개의 전력파형을 값에 따른 두 집합으로 분류할 수 있는 지를 판단하여 분류되지 않는 경우에 취약성이 제거된 것으로 판단하는 단계를 포함하는 것을 특징으로 하는 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 장치.
9. 제6항에 있어서, 반복 연산 시작 전에 랜덤한 값으로 매번 초기화하는 하드웨어 대응 처리를 하는 것에 의해,

   암호 알고리즘 하드웨어 구현 시 비밀 키 비트 k_i값을 확인하는 단계에서 k_i+1과 k_i(0 ≤ i < n-1)의 헤밍 디스턴스

   

   값에 따른 전력 소모가 발생하는 특성 및,

   암호 알고리즘 하드웨어 구현 시 비밀 키 비트 k_i값을 확인하는 단계에서 k_i+1과 k_i(0 ≤ i < n-1)의 헤밍 디스턴스

   

   값에 따른 전력 소모가 발생하고, 반복 연산에서 불려오는 레지스터 R의 주소는 k_i+1과 k_i값에 따라 결정되기 때문에 연산에 활용되는 레지스터 주소의 헤밍 디스턴스에 따른 전력 소모가 발생하는 특성을 없애 전력 파형 특성을 비밀 키 비트값에 따른 특성에 관계없이 두 집합으로 랜덤하게 분류되도록 하여 취약점을 제거하는 것을 특징으로 하는 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 방법.
10. 제6항에 있어서, 랜덤 비트 마스킹을 하는 소프트웨어 대응 처리를 하는 것에 의해,

    암호 알고리즘 소프트웨어 구현 시 비밀 키 비트 k_i값을 확인하는 단계에서 k_i(0 ≤ i < n-1)의 헤밍웨이트, 즉 k_i값을 이진수로 표현했을 때 1의 개수인 헤밍 웨이트 값에 따른 전력 소모가 발생하는 특성 및,

    암호 알고리즘 소프트웨어 구현 시 비밀 키 비트 k_i값을 확인하는 단계에서 k_i(0 ≤ i < n-1)의 헤밍웨이트, 즉 k_i값을 이진수로 표현했을 때 1의 개수인 헤밍 웨이트 값에 따른 전력 소모가 발생하고, 반복 연산에서 불려오는 레지스터 R의 주소는 k_i값에 따라 결정되기 때문에 연산에 활용되는 레지스터 주소의 헤밍 웨이트, 즉 레지스터 주소 값을 이진수로 표현했을 때 1의 개수에 따른 전력 소모도 발생하는 특성을 없애 전력 파형 특성을 비밀 키 비트값에 따른 특성에 관계없이 두 집합으로 랜덤하게 분류되도록 하여 취약점을 제거하는 것을 특징으로 하는 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 방법.
11. 제8항에 있어서, 하드웨어 및 소프트웨어로 구현된 암호 알고리즘의 취약성 판단을 하는 단계에서,

    공격 대상과 동일한 장비를 활용할 수 있다면,

    공격 대상과 동일한 장비에서 n 비트 비밀 키 설정 후 공개키 암호 알고리즘 1회 수행시 발생하는 전력 파형을 수집하는 단계와,

    알고리즘 1회 수행시 수집한 전력 파형을 n개의 반복 연산 단위로 자르고, 설정된 n 비트 키를 기반으로 n 개의 전력 파형을 두 집합으로 분류하는 단계와,

    분류된 두 집합의 SOST 값을 계산하고, SOST 피크 값의 존재 여부를 판단하는 단계를 포함하는 것을 특징으로 하는 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 방법.
12. 제8항에 있어서, 하드웨어 및 소프트웨어로 구현된 암호 알고리즘의 취약성 판단을 하는 단계에서,

    공격 대상과 동일한 장비를 활용할 수 없다면,

    공격 대상 장비에서 공개키 암호 알고리즘 1회 수행시 발생하는 전력 파형을 수집하는 단계와,

    알고리즘 1회 수행시 수집한 전력 파형을 n개의 반복 연산 단위로 자르고, 공격 대상 칩의 동작 주파수 확인 및 알고리즘 구조 분석을 통하여 키 비트 확인을 위한 연산 단계를 구분하는 단계와,

    n개의 전력 파형을 비밀 키 비트 값 k_i에 따른 두 집합으로 분류할 수 있는지 확인하는 단계를 포함하는 것을 특징으로 하는 공개키 암호 알고리즘의 키 비트 변수 랜덤화를 위한 방법.

Images